《安全漏洞检测服务》由会员分享,可在线阅读,更多相关《安全漏洞检测服务(2页珍藏版)》请在金锄头文库上搜索。
1、(一)安全漏洞检测服务1. 实现目标对成都血液中心网站、WEB应用和数据库等资产进行安全漏洞扫描,挖掘存 在的软件漏洞和安全隐患,发现和弥补系统存在的弱点,避免被黑客攻击造成的 负面影响,对下一步网络安全工作的开展提供证据支持和方向。2. 检测平台成都血液中心网站。3.漏洞检测服务内容(包括但不限于以下内容)检测功能描述网站安全漏洞检测1、 对网站的SQL注入漏洞(包括GET、POST、Cookie、 HTTP请求头部等的SQL注入漏洞等)检测。2、对网站的 XSS 漏洞(包括 GET、POST、Cookie、HTTP 请求头部、DOM等各类XSS漏洞等)检测。3、对网站的敏感信息泄露(包括调
2、试信息、错误信息 等)检测。4、对网站的其他应用组件漏洞检测。挂马检测采用多种技术的结合,对网站进行挂马检测。敏感文件检测包括:备份文件;数据库文件;版本控制文件;各类中间文件; Phpinfo;服务器探针; Webshell ; svn等版本控制器的隐藏文件; vim等编辑器留下的中间临时交换文件等;源码泄露检测覆盖PHP, .NET, ASP, JSP等服务端语言的源码泄露 识别检测。内网地址检测检测内网地址泄露。phpinfo 文件识别检测PHP的环境探针文件目录浏览检测覆盖 IIS, Apache, Tomcat, Jboss 等 Web 容器的目 录浏览识别。业界通报的重大安 全隐患
3、即时专项安 全检查对于业界内通报的重大安全漏洞、重大安全隐患和重大 安全事件,有针对性对漏洞、隐患和事件,进行安全检 查。漏洞复测服务能够通过成都市公安局的漏洞检测感知平台检测。4.检测频次每两个月一次。(二)风险控制为了保障安全检测过程中可能对业务产生影响,乙方(提供安全漏洞检测服 务公司)应采取以下措施来减小甲方(成都市血液中心)风险:在安全检测中针对线上系统不得使用含有拒绝服务的检测策略(包括资 源耗竭型DoS、畸形报文攻击、数据破坏)进行检测;在检测过程中,乙方发现的所有风险漏洞未经甲方授权,都不得泄露给 任何第三方单位或个人;检测时间以甲乙双方沟通确定的时间进行,不得影响应用业务的使用;在安全检测过程中如果出现被检测系统没有响应的情况,乙方应立即停 止检测工作,与甲方人员一同分析情况,在确定原因后,并待正确恢 复系统,采取必要的预防措施(比如调整检测策略等)之后,再继续 进行。乙方检测人员应与甲方系统和安全管理人员保持良好沟通,随时协商解 决出现的各种难题。(四)报告的提交由乙方对本项目的检测过程数据进行完整记录,最终形成完整有效的检测报 告和整改建议等提交给甲方,同时协助甲方技术人员进行整改加固。(五)其他投标商根据公司自身情况,认为还可以提供的其他技术支持、服务等。
