网站安全检测的检测项目

360网站安全检测可靠吗？~

可靠的，毕竟这么大的企业，但是还是建议通过多种检测手段，阿里云、百度、360都检测一下

广州建设工程质量安全检测中心 广州市白云大道北 833

1)SQL注入。检测Web网站是否存在SQL注入漏洞，如果存在该漏洞，攻击者对注入点进行注入攻击，可轻易获得网站的后台管理权限，甚至网站服务器的管理权限。
2) XSS跨站脚本。检测Web网站是否存在XSS跨站脚本漏洞，如果存在该漏洞，网站可能遭受Cookie欺骗、网页挂马等攻击。
3)网页挂马。检测Web网站是否被黑客或恶意攻击者非法植入了木马程序。
4)缓冲区溢出。检测Web网站服务器和服务器软件，是否存在缓冲区溢出漏洞，如里存在，攻击者可通过此漏洞，获得网站或服务器的管理权限。
5)上传漏洞。检测Web网站的上传功能是否存在上传漏洞，如果存在此漏洞，攻击者可直接利用该漏洞上传木马获得WebShell。
6)源代码泄露。检测Web网络是否存在源代码泄露漏洞，如果存在此漏洞，攻击者可直接下载网站的源代码。
7)隐藏目录泄露。检测Web网站的某些隐藏目录是否存在泄露漏洞，如果存在此漏洞，攻击者可了解网站的全部结构。
8)数据库泄露。检测Web网站是否在数据库泄露的漏洞，如果存在此漏洞，攻击者通过暴库等方式，可以非法下载网站数据库。
9)弱口令。检测Web网站的后台管理用户，以及前台用户，是否存在使用弱口令的情况。
10)管理地址泄露。检测Web网站是否存在管理地址泄露功能，如果存在此漏洞，攻击者可轻易获得网站的后台管理地址。
11）网站性能检测。检测网站、子网站、栏目和重点页面是否在线，记录并统计该站点监测次数、可用次数、不可用次数及不可用的百分比，综合统计站点的变更次数。
12）舆论信息检测。
网络舆论信息是通过互联网传播的某些热点、焦点问题，公众对其所持有的较强影响力、倾向性的言论和观点，简单来说就是互联网上传播的一些信息公众对其所持有的言论。它主要通过微博、新闻跟贴、转贴，论坛、博客等进行传播和强化。对企业来说如果是一些正面消息还好，如果是负面消息，企业可能会做一些危机公关，但问题的关键是企业可能不知道这些负面消息散落在互联网的什么地方。
网络舆论信息检测系统可以帮助你找到消息散落的地方，以分析报告的形式显示消息具体的位置。本系统提供话题自动发现、自动追踪、24小时监控及预警机制等。
网络舆论信息监控系统依托自主研发的搜索引擎技术和文本挖掘技术，通过网页内容的自动采集处理、敏感词过滤、智能聚类分类、主题检测、专题聚焦、统计分析，实现各单位对自己相关网络舆论监督管理的需要，最终形成舆论信息简报、舆论信息专报、分析报告、移动快报，为决策层全面掌握舆情动态，做出正确舆论引导，提供分析依据。
13主机安全检测。
1、身份鉴别
对登录操作系统和数据库系统的用户进行身份标识和鉴别；
操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点，口令长度至少八位以上。口令有复杂度要求，如同时包含字母、数字、特殊字符等。定期更换口令；
启用登录失败处理功能，如：限定连续登录尝试次数、锁定帐户、审计登录事件、设置连续两次登录的时间间隔等；
设置鉴别警示信息，描述未授权访问可能导致的后果；
当对服务器进行远程管理时，采取必要措施，防止鉴别信息在网络传输过程中被窃听；
为操作系统和数据库的不同用户分配不同的用户名，确保用户名具有唯一性；
采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别，并且身份鉴别信息至少有一种是不可伪造的，例如以公私钥对、生物特征等作为身份鉴别信息。
2、自主访问控制
依据安全策略控制主体对客体的访问，如：仅开放业务需要的服务端口、设置重要文件的访问权限、删除系统默认的共享路径等；
根据管理用户的角色分配权限，实现管理用户的权限分离，仅授予管理用户所需的最小权限；
实现操作系统和数据库系统特权用户的权限分离；
严格限制默认帐户的访问权限，禁用或重命名系统默认帐户，并修改这些帐户的默认口令。及时删除多余的、过期的帐户，避免共享帐户的存在。
3、强制访问控制
应对重要信息资源和访问重要信息资源的所有主体设置敏感标记；
强制访问控制的覆盖范围应包括与重要信息资源直接相关的所有主体、客体及它们之间的操作；
强制访问控制的粒度应达到主体为用户级，客体为文件、数据库表/记录、字段级。
4、可信路径
在系统对用户进行身份鉴别时，系统与用户之间能够建立一条安全的信息传输路径。
5、安全审计
审计范围覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户；
审计内容包括系统内重要的安全相关事件，如：重要用户行为、系统资源的异常使用和重要系统命令的使用等；
安全相关事件的记录包括日期和时间、类型、主体标识、客体标识、事件的结果等；
安全审计可以根据记录数据进行分析，并生成审计报表；
保护审计进程避免受到未预期的中断；
保护审计记录避免受到未预期的删除、修改或覆盖等；
安全审计能够根据信息系统的统一安全策略，实现集中审计。
6、剩余信息保护
保证操作系统和数据库管理系统用户的鉴别信息所在的存储空间，被释放或再分配给其他用户前得到完全清除，无论这些信息是存放在硬盘上还是在内存中；
确保系统内的文件、目录和数据库记录等资源所在的存储空间，被释放或重新分配给其他用户前得到完全清除。
7、入侵防范
能够检测到对重要服务器进行入侵的行为，能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间，并在发生严重入侵事件时提供报警；
能够对重要程序完整性进行检测，并在检测到完整性受到破坏后具有恢复的措施；
操作系统遵循最小安装的原则，仅安装需要的组件和应用程序，并通过设置升级服务器等方式保持系统补丁及时得到更新。
8、恶意代码防范
安装防恶意代码软件，并及时更新防恶意代码软件版本和恶意代码库；
主机防恶意代码产品具有与网络防恶意代码产品不同的恶意代码库；
支持防恶意代码的统一管理。
9、资源控制
通过设定终端接入方式、网络地址范围等条件限制终端登录；
根据安全策略设置登录终端的操作超时锁定；
对重要服务器进行监视，包括监视服务器的CPU、硬盘、内存、网络等资源的使用情况；
限制单个用户对系统资源的最大或最小使用限度；
当系统的服务水平降低到预先规定的最小值时，能检测和报警。
14）物理安全检测。
1、物理位置的选择
机房和办公场地选择在具有防震、防风和防雨等能力的建筑内；
机房场地避免设在建筑物的高层或地下室，以及用水设备的下层或隔壁。
2、物理访问控制
机房出入口安排专人值守并配置电子门禁系统，鉴别进入的人员身份；
需进入机房的来访人员经过申请和审批流程，并限制和监控其活动范围；
对机房划分区域进行管理，区域和区域之间设置物理隔离装置，在重要区域前设置交付或安装等过渡区域；
重要区域配置第二道电子门禁系统，控制、鉴别和记录进入的人员身份。
3、防盗窃和防破坏
将主要设备放置在物理受限的范围内；
对设备或主要部件进行固定，并设置明显的不易除去的标记；
将通信线缆铺设在隐蔽处，如铺设在地下或管道中等；
对介质分类标识，存储在介质库或档案室中；
利用光、电等技术设置机房的防盗报警系统，以防进入机房的盗窃和破坏行为；
对机房设置监控报警系统。
4、防雷击
机房建筑设置避雷装置；
设置防雷保安器，防止感应雷；
机房设置交流电源地线。
5、防火
设置火灾自动消防系统，自动检测火情、自动报警，并自动灭火；
机房及相关的工作房间和辅助房采用具有耐火等级的建筑材料；
机房采取区域隔离防火措施，将重要设备与其他设备隔离开。
6、防水和防潮
水管安装，不穿过屋顶和活动地板下；
对穿过机房墙壁和楼板的水管增加必要的保护措施，如设置套管；
采取措施防止雨水通过机房窗户、屋顶和墙壁渗透；
采取措施防止机房内水蒸气结露和地下积水的转移与渗透；
安装对水敏感的检测仪表或元件，对机房进行防水检测和报警。
7、防静电
设备采用必要的接地防静电措施；
机房采用防静电地板；
采用静电消除器等装置，减少静电的产生。
8、湿度控制
机房设置温湿度自动调节设施，使机房温、湿度的变化在设备运行所允许的范围之内。
9、电力供应
在机房供电线路上设置稳压器和过电压防护设备；
提供短期的备用电力供应（如UPS设备），至少满足设备在断电情况下的正常运行要求；
设置冗余或并行的电力电缆线路为计算机系统供电；
建立备用供电系统（如备用发电机），以备常用供电系统停电时启用。
10、电磁防护
应采用接地方式防止外界电磁干扰和设备寄生耦合干扰；
电源线和通信线缆应隔离，避免互相干扰；
对重要设备和磁介质实施电磁屏蔽；

---

阿图什市18534888591： web安全测试 主要测试哪些内容 - ？
荆茜阿斯： 软件安全测试按照测试点又细分了很多分支,而今天我们要讲的是安全测试之最常见的页面脚本攻击.脚本攻击有多种方式,今天给大家讲几种最常见的场景也是很多网站容易忽略测试的情况<br>第一种,在页面的输入框中植入一段js(javascript...

阿图什市18534888591： 网站的可用性测试 主要包括哪些方面 - ？
荆茜阿斯： 转载,非原创网站的测试包括: 一:性能测试 (1)连接速度测试.用户连接到电子商务网的速度与上网方式有关,他们或许是电话拨号,或是宽带上网! (2)负载测试.负载测试是在某一负载级别下,检测电子商务系统的实际性能. 也就是...

阿图什市18534888591： 网络安全检测,主要检测什么方面啊? - ？
荆茜阿斯： 最近有个很火爆的叫做“安全极客嘉年华”的活动,它就是和网络安全测试相关的,它的英文名字是GeekPwn,这是知名人才云集的活动,它是由多次在全球知名大赛上获得第一名的Keen Team主办的,这回主要聚焦在了智能娱乐的安全隐患问题,大家找出安全漏洞进而改进. 你若是对网络安全测试和黑客知识感兴趣的话可以关注一下

阿图什市18534888591： 什么是网页测试 - ？
荆茜阿斯： 主要是开发者自己对网站网页产品进行测试,检查产品是否存在缺陷、错误,验证产品功能与说明书、用户手册是否一致.测试包括: 一:性能测试 (1)连接速度测试.用户连接到电子商务网的速度与上网方式有关,他们或许是电话拨号,...

阿图什市18534888591： 我是这么做好网站测试工作的 ？
荆茜阿斯： 一个网站的建成,是各个部门分工协作的结果.设计师进行网站页面的设计,程序进行代码的编写.在网站的架构完成之后,还有一项非常重要的工作,那就是网站测试. ...

阿图什市18534888591： 什么是网络安全检测 - ？
荆茜阿斯： 你这个问题太广义了. 如果你先检查自己的系统是否安全.首先看微软的补丁是否打齐,然后再检查非必要的端口是否都关闭,例如:3389,135.139.21 然后再随便装个杀毒软件什么的.最好就是把现在网上流行的病毒免疫装上.基本上你的电脑就算是合格的啦.

阿图什市18534888591： 网站项目需要使用哪种测试工具？
荆茜阿斯： 如果对网站进行自动化测试的话,首先要考虑的是性能,推荐使用性能测试工具Loadrunner,这个软件可以模拟负载人数,模拟压力测试,最终以报告的形式展示出网站的总体性能情况;其次,要考虑的是安全,也就是说要对网站进行安全测试...

阿图什市18534888591： 安全检查的内容和方法有哪些? - ？
荆茜阿斯： A、安全检查的内容 (1 )查思想 检查各级管理人员对安全生产的认识,对安全生产方针、政策、法令、规程的理解和贯彻的情况. (2 )查管理 检查安全管理工作的实施情况.如安全生产责任制、各项规章制度和档案是否健全,安全教育、安全...

阿图什市18534888591： 网络安全测试活动都有那些? - ？
荆茜阿斯： 这个有很多的哟~比如说PWN20,CTE,还有极棒(英文名叫GeekPwn)等等啊~ 最后一个是我最感兴趣的了,因为它跟别的活动不一样,这个是只出设备不出题的. 白帽黑客们都可以自由发挥,特别有意思!里面有很多的智能设备,还有微软,苹果这些公司产品给极客们研究的哟.很多大神也会来的呢.活动的主要目的就是为了发现各种系统和设备的漏洞,帮助厂家来改进,特别有趣的~要是感兴趣你可以关注一下哦~~

阿图什市18534888591： 如何检测网站性能 - ？
荆茜阿斯： 网站的性能一直是影响浏览量的重要因素之一.然而,如何时刻了解网站的情况,让网站始终保持良好的性能却是一个复杂的问题.一个典型的Web访问通常要受到10至20个甚至更多路由的影响,同时还要受到防火墙、Web服务器和用户浏览...