绩效考核系统
卫宁健康科技集团股份有限公司
Winning Health Technology Group Co.,Ltd
第
7
页 共 77 页
八、附录:评估技术点与评分依据
“灯塔”平台通过核心引擎分析目标类型及目标体量,制定检测策略并调
用各功能模块对目标系统的主机系统、数据库、中间件、WEB 应用、应用框架
等进行全方位自动化风险点识别、检测、验证、利用;在检测完成后进行结论
数据整合及自动化出具风险评估报告。以下部分为“灯塔”平台的评估技术点
与相关评分依据。
操作系统
编
号
弱点类型
描述
风 险
值
等级
1
远程溢出
包括 CVE、CNVD 确认的可以进行远程溢出攻击的系统漏洞;
9-10
严重
2
本地溢出
包括 CVE、CNVD 确认的可以进行本地溢出攻击的系统漏洞;
6-8
高危
3
拒绝服务
包括 CVE、CNVD 确认的可以进行拒绝服务攻击的系统漏洞;
9-10
严重
4
弱口令
包括 TOP 1000 弱口令验证;
9-10
严重
5
后门程序
包括常见 Rootkit、远程控制等后门的识别;
9-10
严重
中间件
1
弱口令
包括 TOP 1000 弱口令验证;
6-8
高危
2
命令执行
包括 TOMCAT、AIX2 等中间件的命令执行漏洞识别;
6-8
高危
3
解析漏洞
包括 IIS、Apache、Nginx 等中间件的解析漏洞;
6-8
高危
4
目录遍历
包括 IIS、Apache、TOMCAT、Nginx 等中间件的目录遍历漏洞;
3-8
中、高危
数据库
1
弱口令
包括 TOP 1000 弱口令验证;
6-8
高危
2
远程溢出
包括 CVE、CNVD 确认的可以进行远程溢出攻击的数据库漏洞;
9-10
严重
3
拒绝服务
包括 CVE、CNVD 确认的可以进行拒绝服务攻击的数据库漏洞;
9-10
严重
WEB
1
注入
包括 GET、POST、COOKIE、盲注、HTTP 头请求等注入方式
6-10
高危、严重
2
跨站脚本漏洞
包括存储型、反射性、DOM 型等跨站攻击方式
4-8
中、高危
3
跨站请求伪造
包括 GET、POST 等跨站请求伪造漏洞
4-8
中、高危
4
文件上传
包括本地验证、MINE 类型检测、目录路径检测、文件内容检测
等绕过进行文件上传
6-8
高危
5
文件包含
包括本地文件包含、远程文件包含漏洞检测
6-8
高危
6
命令执行
包括代码执行、系统命令执行等命令执行漏洞
6-10
高危、严重
7
弱口令
包括 TOP50 用户名、TOP1000 密码验证
6-8
高危
8
越权访问
包括身份验证绕过、JS 禁用绕过、权限越级等越权漏洞
4-8
中、高危
9
信息泄露
包括路径信息泄露、SVN 信息泄露、phpinfo、异常信息泄露等
1-2
低危
10
敏感信息
包括数据库备份、网站源码备份等敏感信息泄露文件
3-8
中、高危
11
文件遍历
包括任意文件读取、下载、删除等文件遍历操作漏洞
3-5
中危
12
拒绝服务
包括脚本程序处理过程中导致网站无法访问的漏洞
6-8
高危
13
设计缺陷
包括程序设计缺陷、逻辑错误等此类漏洞
3-8
中、高危
14
其他
未验证的重定向和转发等,新爆发出的漏洞不在以上分类的漏
洞
根据漏洞危害判定
签字/盖章:__________
剩余83页未读,继续阅读
abzhang8
- 粉丝: 1
- 资源: 1
我的内容管理
展开
最新资源
- Vue实现iOS原生Picker组件:详细解析与实现思路
- Arduino蓝牙小车:参数调试与功能控制
- 百度Java面试精华:200页精选资源涵盖核心知识点
- Swift使用CoreData填坑指南:CoreData在Swift 3.0的变化
- 微距离无线充电器创新设计及其实验探索
- MTK Android平台开发全攻略:44步详解流程
- RecyclerView全面解析:替代ListView的新选择
- Android开发:自动适配中英文键盘解决方案
- Android调用WebService接口教程
- Android开发:BitmapUtil图片处理全解析与实例
- Android多线程断点续传实现详解
- PCA算法在人脸识别会议签到系统中的应用
- EventBus 3.0:Android事件总线详解与实战应用
- Android FileUtil:全面解析文件操作实用技巧与实例
- RecyclerView添加头部和尾部实战教程
- Android实现微博滑动固定顶部栏实战与优化
资源上传下载、课程学习等过程中有任何疑问或建议,欢迎提出宝贵意见哦~我们会及时处理!
点击此处反馈
