針對**財務公司的消費信貸系統、電子商業匯票 、網上審批、網上支付、建行Winbridge、MBP銀企平臺、工行NC、建行外聯平臺、征信報送業務系統，一航網絡軟件測評中心針對用戶需求，對**集團財務公司核心應用系統進行了漏洞掃描和滲透測試等非破壞性安全測試。

      一、測試方法

        本次滲透測試的測試方法和內容將包括：

        1、應用系統相關信息收集與分析

        2、口令強度測試

        3、遠程溢出攻擊測試

        4、本地權限提升測試

        5、邏輯驗證攻擊測試

        6、SQL注入攻擊測試

        7、XSS跨站腳本攻擊測試

        8、Cookies欺騙攻擊測試

        9、網絡數據傳輸安全性測試

      二、風險控制措施

        本次安全測試由于采用可控制的、非破壞性質的安全測試，因此不會對財務公司業務造成嚴重的影響。在安全測試結束后，系統將保持正常運行狀態。同時采取以下手段保證安全測試對系統的影響最小化：

        1、在安全測試進行之前對系統穩定性進行測試。

        2、避免采用大規模探測或DOS攻擊方式進行測試。

        3、在安全測試結束之后對系統進行測試，驗證系統可穩定進行。

        4、不采取有損傷性的測試手段和方法。

        5、采用空閑時間段，避免了高峰時期的事故影響。

       三、測試結果

        經過對幾個核心應用系統的滲透測試進行的全面檢測和分析，安全狀況不容樂觀，系統存在嚴重的漏洞和安全隱患.....。

      四、安全建議

        基于本次應用評估的結果，經一航網絡安全項目小組討論，建議如下：

        1、思考是否變更網站安全的管理模式，加強網站安全管理。

        2、強化統一的安全組織結構，明確全員的安全策略，建立起安全文化。

        3、所有系統均應考慮目前互聯網上最普遍的XSS攻擊和SQL注入攻擊，對用戶提交的數據合法性進行過濾，并制定安全開發手冊規范安全開發流程。

        4、建立統一的安全體系，做到可評估、可測量、可控制并持續改進。

        5、定期檢測網站、數據庫是否存在安全缺陷、惡意代碼。

      五、安全建議

        1、 過濾或轉換用戶提交數據中的HTML代碼，如特殊符號"<>:|'等特殊符號

        2、 限制用戶提交數據的長度　

        3、禁止調用遠程頁面，建議使用數字參數來調用內部頁面

        4、上傳文件校驗文件的內容是否為圖片，并且圖片內容無腳本代碼。

       一航網絡軟件測評中心，是一家[ 全具備CMA資質 ]的第三方軟件測評服務機構，具有檢驗檢測機構資質認定（CMA）證書資質，具備為企業提供軟件測試、功能測試的服務能力，出具的軟件測試報告（包括軟件登記測試報告、科技項目驗收測試報告、科技成果鑒定測試報告、性能測試報告、確認測試報告等）均可全國通用。

       為了減少您的人力和物力成本，我們可以為您提供上門測試、遠程測試服務。

       服務區域：[ 全國范圍 ]

       服務熱線：[ 400-850-9950 ]