招标代理公司（立即查看） 受业主单位（立即查看） 委托，于2024-04-24在采购与招标网发布 网络安全年度检查竞争性磋商公告。现邀请全国供应商参与投标，有意向的单位请及时联系项目联系人参与投标。 公告（略）络安全年度检查竞争性磋商公告有效期（略）-（略）-（略）至（略）-（略）-（略）撰写单位:（略）撰写人：（略）络安全年度检查）竞争性磋（略）络安全年度检查采购项目的潜在供应商应（略）上获取采购文件，并于（略）年（略）月（略）日（略）时（略）（北京时间）前提交响应文件。一、项目基本情况项目编号（略）-（略）络安全年度检查采购方式：竞争性磋商包组编号（略）预算金额（（略））（略）,（略）.（略）最高限价（（略））（略）,（略）采购需求：查看一、服务内容1、对（略）个重（略）络安全检查。每个（略）检查内容包含安全管理措施检查、安全技术措施检查、技术监测评估检查、安全漏洞检测等内容，每个（略）检测均独立形成测评报告。2、针（略）络安全渗透测试工作。每个（略）形成测试报告。3、检查期间（略）络安全态势感知和技术支（略）络安全应急支撑服务。二、成果要求1、将安全（略）络安全检查结果进行数据对比（略）析，形成《沈（略）络安全检查（略）析报告》。2（略）络安全监控报告》。三、核查内容及技术实施参数：（一）安全管理机构信息核查组织机（略）络安全管理机构架设情况管理人（略）络安全管理人员基本情况（二）安全管理措施核查组织管理①制定相关文件，明（略）络安全管理（略）络安全形势，（略）络安全（略）络安全责任制度日常管理人员管理①与计算机使用（略）络安全与保密协议情况②管理人员与工作人员熟知信息（略）情况（略）络安全管理规定落实情况④外部人员访问机房等重要区域（略）络安全责任事故（略）络安全检查开展情况②信息（略）安全保护（略）信、公安及其他部门通报的漏洞隐患情况日常管理信息资产管理①（略）统一运维情况②建立信息资产管理制度情况③建立信息资产台账情况④设备维修维护和报废管理制度落实情况经费保障情况采购管理（略）络安全事件应急预案编制及演练情况②应急预案宣贯培训情况③应急支撑队（略）情况④重要数据和业（略）络安全应急物资保障（略）络安全教育开展情况②专业技能（略）络安全检查考核制度落实情况外包服务管理①外包服务安全管理（略）络安全责任划（略）情况③外包开发的（略）、（略）上线前安全测评情况（三）安全技术措施核查1.信息（略）防护包括（略）用途、托管模式、机房物理（略）IP、（略）定级等基本情（略）络边界及关键设备、应用（略）、终端计算机、（略）数据等安全防护情况核查。2.其他方面防护包括存储介质防护、（略）络安全防护、电子（略）安全防护等情况核查。（四）技术监测评估核查包括（略）络安全防护设备、信息（略）进行漏洞检测情况，端口、应用、服务设置情况，人工渗透测试、木马检测、（略）络安全风险评估等情况。（五）安全漏洞检测内容序号测试项目一Web漏洞测试1SSL加密检测2会话授权3Session认证检测4SessionToken检测5Non-RandomSessionToken检测6InsufficientAuthorization7失效链接检测8InsufficientSession检测9SessionFixation检测（略）FailureSessionID检测（略）未授权管理会话检测（略）Session弱点检测（略）URL-SessionToken安全性检测（略）会话cookie设置HttpOnly属性检测（略）随机会话cookie检测（略）会话cookie设置安全属性检测（略）SSLConnection加密检测（略）SSL对象引用检测（略）弱SSL加密算法检测（略）Client-sideAttacks检测（略）ContentSpoofing检测（略）Cross-SiteScripting检测（略）ReflectedCross-SiteScripting检测（略）PersistentCross-SiteScripting检测（略）DOM-BasedCross-SiteScripting检测（略）***Scripting检测（略）HTMLInjection检测（略）Cross-S***ery检测（略）Flash-RelatedAttacks检测（略）Cross-SiteFlashing检测（略）Cross-SiteScriptingThroughFlash检测（略）PhishingURLRedirectionThroughFlash检测（略）OpenCross-DomainPolicy检测（略）CommandExecution检测（略）FormatStringAttack（略）LDAP注入（略）操作（略）命令注入（略）SQL注入（略）BlindSQL注入（略）SSI注入（略）path注入（略）HTTP头注入快速响应（略）恶意文件（略）目录索引检测（略）内容泄漏检测（略）代码备注的敏感信息检测（略）错误信息检测（略）备份文件检测（略）源代码泄漏（略）路径泄露（略）启用不安全的HTTP请求方法检测（略）WebDAV启用检测（略）支持搜索测试和调试文件test.php（略）FrontPage扩展启用检测二数据库漏洞测试（略）安全设置（略）色（略）权限（略）弱口令（略）审计设置（略）文件权限（略）需定制参数的安全设置（略）需定制参数的审计设置（略）用户行为（略）安全设置（略）口令攻击（略）用户行为（略）SQL注入（略）缓冲区溢出（略）安全设置（略）备份（略）色（略）权限（略）审计设置（略）文件权限（略）用户权限提升三主机操作（略）漏洞扫描（略）***bios类漏洞测试（略）web类漏洞测试（略）CGI类漏洞测试（略）信息搜集类漏洞测试（略）强力攻击类漏洞测试（略）守护进程类漏洞测试（略）mail类漏洞测试（略）FTP类漏洞测试（略）DNS类漏洞测试（略）snmp类漏洞测试（略）proxy类漏洞测试（略）协议欺骗类漏洞测试（略）RPC类漏洞测试（略）NFS类漏洞测试（略）NIS类漏洞测试（略）后门类漏洞测试（略）蠕虫病毒类漏洞测试（略）Samba服务类漏洞测试（略）缓冲区溢出类漏洞测试（略）主机账号安全性漏洞测试（略）端口服务漏洞测试（略）远程代码执行类漏洞测试（略）拒绝服务类漏洞测试（略）内存损坏类漏（略）内存覆盖类漏洞测试（略）安全限制绕过漏洞测试（六）Web渗透测试内容序号测试大项子项描述1注入SQL注入漏洞SQL注入攻击包括通过输入数据从（略）插入或“注入”SQL查询到应用程序。一个成功的SQL注入攻击可以从数据库中获取敏感数据、修改数据库数据（插入更新删除）、执行数据库管理操作（如关闭数据库管理（略））、恢复存在于数据库文件（略）中的指定文件内容，在某些情况下能对操作（略）发布命令。SQL注入攻击是一种注入攻击。它将SQL命令注入到数据层输入，从而影响执行预定义的SQL命令。2失效的身份认证和会话管理用户认证数据明文传输用户名、密码等敏感信息未经加密进行了传递，恶意攻击者可能会窃取诸如用户名和密码等未经加密即（略）了的用户（略）信息。3用户枚举通常情况下，当用户名在（略）中存在时，由于错误配置或设计本身的原因导致应用程序泄露相关信息。例如，有时，当我们提交错误证书时，我们收到一条说明用户名存在或密码错误的信息。如果攻击者得到这种信息就可以利用他获得一系列（略）用户名。这种信息还可以用来攻击web应用程序。例如，使用暴力破解或默认用户名密码攻击。4弱口令漏洞当（略）中存在弱口令漏洞时，可能导致恶意攻击者访问机密资料数据、管理面板，或者进行进一步攻击。5（略）功能验证码漏洞当验证码失效或有时效性时，攻击者可能对（略）进行暴力破解等攻击。6用户认证数据易被暴力破解（略）页面没有验证码及账户锁定等人机识别验证措施，从而导致（略）页面容易受到暴力猜解攻击。7认证模式绕过（略）认证模式存在漏洞，可通过特殊手法绕过用户验证措施，从而造成恶意攻击者的非授权访问。8密码字段允许自动填充应用程序为了为用户提供方便常常在本地浏览器（在用户端机器上）缓存密码，并在随后的所有入口都已经预先输入了密码。可能会使未授权用户（具有授权客户机的本地访问权）能够自动填写用户名和密码字段，并因此（略）站点。9不安全的cookies当cookies中包含了一些明文的敏感信息（如用户名、密码等）时，攻击者盗取用户cookies后造成更严重的危害。（略）跨站脚本（（略）SS）反射型跨站脚本漏洞反射型跨站脚本攻击是最常见的跨站脚本攻击类型，当Web应用程序存在易受到这种攻击的漏洞时，它会将未经验证的数据通过请求（略）给（略）。常见的攻击手法包括一个攻击者创建并测试恶意URI的设计步骤、确信受害者在浏览器中加载了该UR（略）步骤、和使用受害人的凭据最终执行恶意代码。（略）存储型跨站脚本漏洞储存型跨站脚本（（略）SS）是一种最危险的跨站脚本。如果Web应用程序从恶意用户处收集了输入数据并将这些数据存储在数据库中以供以后使用，就会发生储存式跨站点脚本。存储的输入数据没有经过正确过滤，因此恶（略）站的一部（略）并在web应用程序授权下在用户浏览器中运行。储存型跨站脚本（（略）SS）是一种最危险的跨站脚本。如果Web应用程序从恶意用户处收集了输入数据并将这些数据存储在数据库中以供以后使用，就会发生储存式跨站点脚本。存储的输入数据没有经过正确过滤，因此恶（略）站的一部（略）并在web应用程序授权下在用户浏览器中运行。（略）越权访问漏洞越权访问漏洞越权一般应用于对其他用户数据的修改访问，通常web程序会提取用户提交的参数或者HTTPHeaders中的特定数据，加入数据库查询，从而进行用户数据的更新，如果存在越权漏洞，攻击者可能对他人数据进行查看或修改。（略）后台地址泄露后台地址泄露管理后台的地址设计过去简单，容易被猜测到，导致攻击者可以访问管理后台从而进行更深入的攻击。（略）安全配置错误不安全的***HTTP请求还使用其他各种方法。许多这类方法主要用于完成不常见与特殊的任务。如果低权限用户可以访问这些方法，他们就能够以此向应用程序实施有效攻击。（略）存在风险的无关服务和端口除去应用本身的端口如（略）、（略）等，（略）若开放了其他无关服务与端口，则该信息可能被黑客利用。（略）Web容器漏洞当运行在操作（略）上的应用程序、中间件（例如IIS、Apache）出现安全漏洞时，可能对web、数据库造成严重危害。（略）命令执行漏洞命令执行漏洞由于开发人员编写源码，没有针对代码中可执行的特殊函数入口做过滤，导致（略）可以提交恶意构造语句提交，并交由服务器端执行。命令注入攻击中WEB服务器没有过滤类似system,eval，exec等函数是该漏洞攻击成功的最主要原因。（略）跨站请求伪造（CSRF）跨站请求伪造（CSRF）一个跨站请求伪造攻击迫使（略）用户的浏览器将伪造的HTTP请求，包括该用户的会话cookie和其他认证信息，（略）到一个存在漏洞的web应用程序。这就允许了攻击者迫使用户浏览器向存在漏洞的应用程序（略）请求，而这些请求会被应用程序认为是用户的合法请求。（略）任意文件（略）任意文件（略）代码在处理包含文件的时候没有严格控制，导致用户可以构造含远程代码在服务器上执行，若服务器文件权限设置不严，可导致（略）到任意文件。（略）未验证的重定向和转发未验证的重定向和转发Web应用程序经常将用户重定（略）站，并且利用不可信的数据去判定目的页面。如果没有得到适当验证，攻击者可以重定向受害用户（略）站，或者使用转发去访问未授权的页面。（略）设计缺陷逻辑错误设计缺陷逻辑错误逻辑错误漏洞是指由于程序逻辑不严或逻辑太复杂，导致一些逻辑（略）支不能够正常处理或处理错误。（略）服务器端请求伪造（SSRF）服务器端请求伪造（SSRF）SSRFServer-S***ery:服务器端请求伪造是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下，SSRF攻击的目标是从