服务介绍

    SSTL在安全测试有丰富的经验，使各类应用系统的软、硬件存在安全问题的客户所会面临的困难都将迎刃而解。SSTL利用国内外典型的安全工具，并结合手工检查和测试，对系统采用多方面结合手段对系统进行自动化安全扫描等测试，可从物理安全、系统安全、网络安全、应用安全、数据加密、访问控制等多方面分析可能存在的安全隐患。所涵盖的内容为：

    基于Web 应用程序的安全扫描测试

    采用不影响业务正常运转的技术手段进行远程测试，通过模拟黑客的方法，测试目标Web系统在真实的非法攻击压力下的安全性。测试内容主要包括：

    1.PPLICATION BUFFER OVERFLOW 应用层缓冲区溢出（压力测试）；

    2.COOKIE POISONING Cookie安全使用状况评估；

    3.CROSS-SITE SCRIPTING 跨站脚本攻击风险评估

    4.HIDDEN MANIPULATION 页面隐藏参数域篡改风险评估；

    5.STEALTH COMMANDING 系统隐蔽指令执行风险评估；

    6.3RD PARTY MISCONFIGURATION 第三方误配置安全隐患；

    7.KNOWN VULNERABILITIES 各类型已知安全漏洞；

    8.PARAMETER TAMPERING URL参数篡改攻击风险评估；

    9.BACKDOOR & DEBUG OPTIONS 后门程序和调试选项遗留隐患；

    10FORCEFUL BROWSING Web内容强迫浏览问题。/p>

    网络模拟攻击测试

    使用ThreadEx网络安全设备模拟各类攻击，测试目标网络的安全性。其主要模拟的攻击包括：

    1.Incremental frag attack；

    2.ICMP Echo Request Flood；

    3.Land Attack；

    4.Code Red II Worm；

    5.Nimda worm ；

    6.BEA Weblogic XSS；

    7.TCP SYN flood ；

    8UDP Service flood。

    主机安全测试

    使用安全扫描工具对主机的开放端口，系统补丁更新情况等进行扫描。以发现主机系统存在的安全漏洞与隐患。

    防火墙安全测试

    包括两方面的测试内容：一方面模拟Incremental frag attack、Land Attack、TCP SYN flood、TearDropAttack等各种攻击，检验防火墙对攻击的防范能力；另一方面在发送攻击包的同时，发送大量的正常数据包，考察防火墙在过滤攻击的同时，对正常数据包的处理性能，考察其的处理能力是否会成为系统的性能瓶颈。

    SSTL所拥有的安全测试工具主要有：KavaDO ScanDO和InterDO、Spirent ThreadEx、Spirent Smartbits、Spirent Smartbits、Spirent Avalance SMB等。

应用案例

    世博网测试案例

    世博网是中国2010年上海世博会唯一指定的官方门户网站，集电子媒体、电子政务和电子商务于一体。其主要功能包括相关信息的收集、发布以及与广大互联网用户之间的信息交互。测试主要内容是对软件的正确性、可靠性、易用性、安全性等特性进行测试，通过对各性能指标的分析处理，对系统的性能状况作出整体分析与评估、通过基于Web的安全扫描，捕获系统的安全漏洞，评估系统的安全性，提出改进方案。

    其安全测试主要包括以下部分：

    1.基于Web 应用程序的安全扫描测试

    基于Web 应用程序系统（如信息浏览，商务和会展、方案征集咨询系统等等）安全测试将采用“黑箱子”安全测试，是指在目标测试网站已经正常投入使用的情况下，采用不影响业务正常运转的技术手段进行远程测试，通过模拟黑客的方法，测试目标Web系统在真实的非法攻击压力下的安全性。本次测试采用了Scando安全扫描软件对系统应用层进行安全扫描。

    测试结果分析见下图：

    2.系统安全模块的功能性测试

    主要测试世博网自带的网络防篡改工具和内容过滤工具的功能性。测试方法主要为：模拟恶意的攻击与突发情况，考察系统如何应对。如非法篡改文件、突然中断网络、在监控端和分发端制造不同步、输入带有特殊字符和格式的需要过滤的文字内容等。