行业动态



如何测试一款OA办公系统的安全性?从这四个方面下手

OA办公系统的安全性是非常值得重视的话题。
我们都知道系统安全问题如同一个由很多个木板拼接起来的木桶,有很多方面,而任 何一面的不坚固或者出现问题(如操作系统安全、网络安全、数据库安全、内部行为安全 等),都会使系统处于不安全状态,没有哪一个产品或者方案可以解决全方位的安全问题。
这里我们仅对应用系统——OA办公系统的安全性进行考察,其他基础性的安全问题是需要在实施时考虑的。那么对于一款OA办公系统,如何考察它的安全性呢?

 如何测试一款OA办公系统的安全性?从这四个方面下手


可以从如下四个方面进行考虑。
1) 建立完整的、安全的用户认证体系
用户认证体系是应用软件最突出的安全考虑问题。如果用户认证体系不够强壮,那么 意味着系统很容易被非法入侵。如通过SQL注入、暴力破解等非法入侵方式。
一个优良的软件系统在用户认证体系上都有着严密的防范措施:
用户信息的加密存储,其中用户登录号、密码等字段关键加密对象,密码常以MD5 算法进行加密,该算法具有很强的反破解能力。
□对于用户密码的强制要求,如要求用户对默认密码进行修改,要求用户密码至少6 个或8个字节长度,甚至要求密码必须由大小写字母、数字等组成等等。
相当难度的验证码措施,加强验证,防止暴力破解,防嗅探侵犯。
□通过手机、二维码、CA证书等多重认证方式。
□系统登录后短消息提醒机制。
□其他措施。
2) 完善的用户授权管理体系
越细化的用户授权,意味着系统的权限分配粒度越细。应避免不同用户使用权限上的 交叉性,确保应用安全。
一个优良的系统的用户权限分配需要达到模块级、功能级、数据级,而不能仅为模块级。
3) 页面SQL注入防范
页面程序SQL注入是非常常见的入侵方式,几乎90%以上的网站系统和Web应用系 统都存在这样的安全漏洞! 一旦被入侵,就意味着你的系统的数据是完全敞开的了。黑客 可以任意获取系统的重要数据,更糟糕的情况是数据被肆意删除或篡改。所以SQL注入防 范是需要非常重视的。
SQL注入是从正常的WWW端口进行访问(执行入侵动作),将SQL的查询/行为命 令通过“嵌入”的方式放入合法的HTTP提交请求,动态地构成SQL请求发给数据库,进 而达到完全入侵目的。这种入侵方式表面看起来跟一般的Web页面访问没什么区别,所以 网络防火墙都不会对SQL注入发出任何警报和进行防范处理。
一般情况下,SQL注入漏洞都是程序设计开发不严谨造成的。虽然这是一个非常公开 的话题,但似乎很少有程序员在程序开发时重视这个问题。
4) 其他Web安全漏洞问题
其他常见系统漏洞包括SQL盲注、跨站点脚本、解密登录请求、跨站请求伪造链接注入、通过框架钓鱼等问题。
用户可以自己利用Security AppScan这样的专业工具进行评测,也可以委托第三方机 构进行软件安全评测。

分享新闻到:
全部新闻
 

Copyright © 2015 重庆猫扑网络科技有限公司