安全性测试报告

我们出具报告，报告上是要体现安全性测评依据标准文件的。
这次出具的报告是按照GB 25000.51-2016标准，根据Q/GDW 1597-2015的测评项进行开展测评，根据10942-2018的具体测评方法进行编写报告

在标准文件中，有“安全漏洞” ，“外部接口”要求，但是在我们安全性测评培训中，不要求进行测评

说明：报告编号
机构简称+六位编号+检测类型+顺序号（两位）
样品编号
机构简称+六位编号+项目类型+检测类型+顺序号（三位）

对于安全性测试内容，不同于等保，我们是需要充分的依据来支撑我们的测评结果的，所以针对每一项，我们都要有截图放上去。
有几项比较难理解的测评项，说明一下

1. 鉴别信息过程应在服务端进行完成，而不是在前端进行完成。
   首先就是应该去看源代码，在看不到源代码的情况下，我们从侧面来验证，
   比如是在浏览器中设置禁用JavaScript，来看下是否能够登录上去，如果可以，说明鉴别信息是在服务端进行完成校验的

2. 密码复杂度
   等保不区分大小写字母，就是字母、特殊字符、数字里至少两种。
   而安全性测试中，是区分的，四种里面要有三种

3. 系统具有防重放机制
   如何验证，就是我第一次输入正确的用户名口令，抓取到hash值保存，第二次故意输错，得到hash值替换第一次的hash值，如果可以登录，就说明不具备防重放机制

4. 服务端和客户端应具有双向机制
   我们输入的用户名口令，是服务端验证客户端
   我们访问系统，使用SSL证书，在网络层面就是客户端验证服务端

5. 访问控制
   这个里面就是涉及到管理员以及权限划分

• 系统管理员：用来对用户权限划分、系统模块配置
• 审计管理员：可以查询到所有的用户的登录日志、操作日志一块
• 业务配置员：仅对业务模块的流程、组织架构进行配置
• 业务操作员：使用这个系统的工作人员，无管理功能
• 业务管理员：对业务类人员进行权限划分
• 审核管理员：也是业务当中的一环，负责审核流程

敏感标记就是强制访问控制，大于访问策略，至于敏感标记这一块，还没有多少系统可以做的这么好。

1. 禁止返回与业务无关的信息
   这个通过burp软件来实现分析

好的，目前就是了解这么多，回见