文档介绍:TheOpenWebApplicationSecurityProject�WEB应用程序安全评估�091130内部讨论版郝轶******@.cnQQ群:956745282009年12月WEB应用程序安全评估方案工作计划评估对象:WEB应用程序覆盖内容:覆盖等级保护、SDLC相关要求计划进度:12月10日完成WORD版《WEB应用程序安全评估方案初稿》评估方式:本方案目前以文档审阅、人员访谈、人工检查方式为主未来计划:完成含中间件、数据库管理系统、操作系统、网络、安全管理的《WEB应用安全评估方案》什么是WEB应用WEB应用是指通过浏览器作为客户端,具有一定业务功能的BS应用系统,包括应用系统本身和应用系统所提供的服务什么是WEB应用程序评估WEB应用安全评估是指采用文档审阅、人员访谈、安全扫描、渗透测试、代码审计、应用检查等方法,是全面深入地发现WEB应用系统在应用层的安全问题的一种手段WEB应用程序安全评估范围WEB应用系统包括以下内容:信息安全技术WEB应用程序中间件数据库管理系统操作系统网络信息安全管理应用相关管理制度、规范和流程OWASPCHINA本方案的评估对象仅为:WEB应用程序WEB应用程序安全评估方法WEB应用程序安全评估方法包括:系统外部文档审阅人员访谈安全扫描渗透测试系统内部人工检查代码审计WEB应用程序安全评估方法WEB应用程序安全评估流程WEB应用程序安全问题的产生系统设计鉴别流程不当权限粒度有限缺乏审计机制…编码阶段资源释放管理欠缺输入输出验证无效注释泄露敏感信息…改进、废弃数据、文件处理硬件处理应用程序变更…部署运维网络操作系统数据库中间件系统部署应用管理…安全开发生命周期WEB应用程序安全评估内容