●前言
A身份認證類
A-1未提供專用的登錄控制模塊
A-2未強制要求口令強度
A-3未對同一用戶采用組合鋻別技術
A-4未提供登錄失敗處理機制
B權限管理類
B-1未嚴格限制賬戶權限
B-2未進行特權賬戶權限分離
B-3未提供安全審計模塊
C數據安全類
C-1重要繫統未采用加密數據傳輸
C-2繫統未進行輸入校驗
C-3繫統不具備自動保護功能
D資源控制類
D-1未提供登錄超時處理機制
D-2繫統未限制優選連接數
D-3未限制單個賬戶資源限額
D-4未設置用戶優先級
E安全漏洞
E-1跨站腳本漏洞
E-2SQL注入漏洞
E-3跨站請求偽造漏洞
E-4緩衝區溢出漏洞
E-5拒絕服務攻擊漏洞
E-6惡意文件上傳漏洞
E-7會話管理設計漏洞
E-8不安全的直接對像引用漏洞
E-9安全配置漏洞
E-10加密措施不當
E-11URL地址訪問控制不當
E-12目錄遍歷漏洞
E-13異常錯誤信息處理不當
E-14應用傳輸層保護不足
E-15Web頁面重定向漏洞
內容簡介
《信息繫統安全開發手冊》針對信息繫統安全開發過程中可能遇到的問題,結合具體實例,從隱患、風險、措施三個層次對身份認證、權限管理、數據安全、資源控制四大類安全功能設計,以及15種典型安全漏洞進行了詳細描述。