记录一次软件安全测试过程

news2024/11/19 23:23:45

一.前言

  xx的安测已经过去一段时间了，这两天xx需求刚发布。xx的外呼需求文档还没确定，所以趁着这个时间，进行一下复盘。
  这次xx安测，全程参与，经历了3轮，从5月份开始，到6月底正式通过安测，实属不易。安测主要分为漏洞扫描、越权扫描、日志审查、软件版本基线检查下面也将从这几方面分别叙述。

漏洞扫描相对来说是比较简单明确，使用漏洞扫描工具直接扫描jar包，分析出jar中的依赖情况，根据漏洞库分析出依赖版本是否存在漏洞。扫描完成会形成一个excel表格，可以直接定位到具体是哪个依赖存在漏洞。

在这里插入图片描述

其中可以通过扫描出来的CVE编号，到国家安全漏洞库进行检索，查找相应的漏洞信息和解决方案。

https://www.cnnvd.org.cn/home/loophole 国家安全漏洞库地址
在这里插入图片描述

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Qmm3kBpL-1690340077405)(F:\word\南航需求\安测\image-20230725162958745.png)]

本文来自互联网用户投稿，该文观点仅代表作者本人，不代表本站立场。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如若转载，请注明出处：http://www.coloradmin.cn/o/790907.html

如若内容造成侵权/违法违规/事实不符，请联系多彩编程网进行投诉反馈，一经查实，立即删除！