招标
2021-078-2022年应用动态安全测试服务项目公告
金额
-
项目地址
北京市
发布时间
2021/07/23
公告摘要
公告正文
一、项目概述
通过实施动态应用安全测试服务项目,完善我行现有安全测试体系,提供相关安全加固建议,从而保障甲方系统上线前达到最大的安全防护水平。
(一)本项目主要采购需求:
本次应用动态安全测试工作需对我行全部互联网类应用系统,在开展全量安全测试基础上,继续针对每月的增量开发内容开展迭代测试,具体如下:
1.测试内容
在测试服务期内,根据我行信息系统项目投产周期及时间计划,针对我行月版项目及紧急项目,于项目投产前,按要求完成关联系统的应用动态安全测试。
应用动态安全测试需通过自动化漏洞扫描工具、人工检测分析、渗透测试等安全测试手段对相关互联网类应用系统的客户端安全性、认证机制安全性、业务数据安全性、业务流程安全性等进行检测,从程序、数据、通信、业务、系统环境等多个方面进行深度安全评估,并给出安全测评报告及加固整改建议。涉及测试项至少包括(但不限于)如下内容:
2.测试系统范围
应用动态安全测试需覆盖我行全部互联网类应用系统,目前我行互联网类应用系统包括(但不限于)如下系统:
3.测试要求
(1)测试环境:本次应用动态安全测试需在我行测试环境下开展实施;
(2)时效要求:
①需根据我行信息系统月版和紧急项目投产周期及时间计划,于项目投产前按要求对关联系统的增量版本完成应用动态安全测试内容;
②在本动态安全测试服务项目实施周期内,需针对测试系统范围中的各互联网类信息系统,至少开展一次全量版本的应用动态安全测试;
(3)测试轮次:需根据我行信息系统月版和紧急项目投产周期及时间计划,至少开展两轮应用动态安全测试。第一轮测试发现问题并给出整改意见,第二轮测试验证整改问题并评估最终测试结果。
(4)人员数量:在月版项目测试期间,应用动态安全测试驻场测试人员需不少于3人。
4.服务期限
2022年1月-2022年12月
(二)服务商准入标准
1、公司具有独立法人资格,注册资本500万元及以上;
2、具有同类型项目实施案例经验(需提供案例扫描件)。
请有意参与我行项目合作且符合准入条件的服务商,从http://www.bjrcb.com/pc/cn/index/xmxxgg/xxkj/20191031/1258548.shtml网址下载并填写《北京农商银行xxx项目服务商自荐表》,同时根据准入标准要求提供相应材料的扫描件,于2021年8月2日下午17点前发送至xinxjsh_shangwu@bjrcb.com邮箱中。
发送报名邮件要求:
1.邮件主题:公告编号+公司名称;邮件主题、正文、附件中不能含敏感字。
2.须以传统方式黏贴附件,不能发云附件;发送的附件(压缩文件、文档等)不得设置密码或编辑权限;单个邮件大小控制在15MB以内(如果超限,可分几个邮件发)。
3.服务商自荐表需提供盖章扫描件及Word可编辑版。
二、其它事项
(一)请在规定时间内参与报名,截至报名日期后我行将不再接受任何形式的申请材料。
(二)请提供服务商的有效联系方式,并保持通讯畅通,我行将电话联系入选的服务商,对于需要产品测评的项目,后续我行会组织服务商进行测评,测评未通过不能作为候选服务商,对未入选的服务商不另行通知。
(三)存在关联的公司在同一项目中只能参选1家公司。
(四)我行尊重参选服务商的隐私权,对服务商的信息严格保密,参选服务商应当对所提交资料的真实性承担责任,我行在参选服务商过程中的任何阶段发现参选服务商提交的材料不实,有权取消其参选资格。
三、联系人及咨询电话
联系人:郭女士
咨询电话:89198820
北京农商银行信息科技部
2021年7月23日
通过实施动态应用安全测试服务项目,完善我行现有安全测试体系,提供相关安全加固建议,从而保障甲方系统上线前达到最大的安全防护水平。
(一)本项目主要采购需求:
本次应用动态安全测试工作需对我行全部互联网类应用系统,在开展全量安全测试基础上,继续针对每月的增量开发内容开展迭代测试,具体如下:
1.测试内容
在测试服务期内,根据我行信息系统项目投产周期及时间计划,针对我行月版项目及紧急项目,于项目投产前,按要求完成关联系统的应用动态安全测试。
应用动态安全测试需通过自动化漏洞扫描工具、人工检测分析、渗透测试等安全测试手段对相关互联网类应用系统的客户端安全性、认证机制安全性、业务数据安全性、业务流程安全性等进行检测,从程序、数据、通信、业务、系统环境等多个方面进行深度安全评估,并给出安全测评报告及加固整改建议。涉及测试项至少包括(但不限于)如下内容:
| 序号 | 测试类型 |
| 1 | 敏感数据明文传输 |
| 2 | 后台存在默认密码 |
| 3 | 新用户使用默认密码 |
| 4 | 账户无错误锁定机制 |
| 5 | 认证绕过 |
| 6 | 认证重放攻击 |
| 7 | 认证弱口令 |
| 8 | 不安全的验证码 |
| 9 | 验证码前端校验 |
| 10 | 暴力破解 |
| 11 | 用户名/账户可以枚举 |
| 12 | HTTP认证泄露漏洞 |
| 13 | 会话固定攻击 |
| 14 | URL重定向漏洞 |
| 15 | 点击劫持漏洞 |
| 16 | Apache HttpOnly Cookie泄露 |
| 17 | Cookie缺失HttpOnly标识 |
| 18 | Cookie缺失Secure属性 |
| 19 | Cookie-Domain属性设置不当 |
| 20 | 请求Token泄露 |
| 21 | CSRF漏洞 |
| 22 | WebLogic SSRF漏洞 |
| 23 | 无会话超时设置 |
| 24 | 会话标识未时效漏洞 |
| 25 | XSS跨站脚本攻击-存储型 |
| 26 | XSS跨站脚本攻击-反射型 |
| 27 | SQL注入 |
| 28 | CRLF注入 |
| 29 | XPath注入 |
| 30 | XML注入 |
| 31 | ORM注入 |
| 32 | SSI注入 |
| 33 | Http响应头注入 |
| 34 | XXE响应实体注入 |
| 35 | 本地文件包含漏洞 |
| 36 | 远程文件包含漏洞 |
| 37 | 文件上传漏洞 |
| 38 | 未验证上传文件类型 |
| 39 | 本地校验绕过 |
| 40 | 未使用加密传输协议 |
| 41 | 通过未加密信道发送敏感数据 |
| 42 | SSL/TLS RC4 信息泄露漏洞 |
| 43 | OpenSSL Heartbleed 漏洞 |
| 44 | OpenSSL CCS注入 |
| 45 | OpenSSL POODLE漏洞 |
| 46 | OpenSSL Encrypt-Then-Mac renegotiation DDOS漏洞 |
| 47 | OpenSSL受戒礼漏洞 |
| 48 | OpenSSL Weak ciphers漏洞 |
| 49 | 越权漏洞 |
| 50 | 用户未授权访问 |
| 51 | 后台管理系统未授权访问 |
| 52 | 绕过原密码修改密码 |
| 53 | 任意重置用户密码 |
| 54 | 密码重置URL可爆破 |
| 55 | 批量重置所有用户密码 |
| 56 | 修改任意用户信息 |
| 57 | 支付逻辑漏洞 |
| 58 | 恶意注册用户 |
| 59 | 注册覆盖 |
| 60 | 用户名/手机号爆破 |
| 61 | 验证码重放攻击 |
| 62 | 手机验证码暴力破解 |
| 63 | 验证码绕过 |
| 64 | 短信验证码泄露 |
| 65 | 验证码无绑定 |
| 66 | 验证码不唯一 |
| 67 | 短信轰炸 |
| 68 | 邮件轰炸 |
| 69 | 密保答案泄露 |
| 70 | 不安全的session ID机制 |
| 71 | 数据库错误信息 |
| 72 | 敏感信息提示泄露 |
| 73 | 内部IP泄露 |
| 74 | 报错敏感信息泄露 |
| 75 | 数据库明文存储 |
| 76 | 注释敏感信息泄露 |
| 77 | 文件内泄露敏感信息 |
| 78 | JBOSS管理敏感信息泄露 |
| 79 | 站点的绝对路径泄露 |
| 80 | Robots包含敏感信息 |
| 81 | 敏感信息泄露 |
| 82 | WSDL接口信息泄露 |
| 83 | 帮助页面疑似泄露内部功能 |
| 84 | 配置信息文件泄露 |
| 85 | Cookie内包含敏感信息 |
| 86 | SVN/GIT等源代码泄露 |
| 87 | 目录遍历 |
| 88 | 服务端允许列目录风险 |
| 89 | 发现隐藏目录 |
| 90 | 发现备份文件 |
| 91 | 存在测试界面 |
| 92 | 存在WEB默认首页 |
| 93 | 服务器端口开放过多 |
| 94 | HP Management服务器系统管理口开放 |
| 95 | 管理控制台对外开放 |
| 96 | WebLogic管理界面开放 |
| 97 | 启用OPTIONS方法 |
| 98 | 不安全的HTTP请求方法 |
| 99 | 启用ASP.NET调试 |
| 100 | 启用TRACE方法 |
| 101 | Slow HTTP Dos 慢速拒绝服务攻击 |
| 102 | 缺少“Content-Security-Policy”头 |
| 103 | 缺少“X-XSS-Protection”头 |
| 104 | 缺少“X-Content-Type-Options”头 |
| 105 | X-Frame-Options未配置 |
| 106 | 启用自动完成的密码类型输入 |
| 107 | Banner信息泄露 |
| 108 | 长密码拒绝服务攻击 |
| 109 | 编辑器漏洞 |
| 110 | Struts2代码执行漏洞 |
| 111 | jBoss远程执行漏洞 |
| 112 | Thinkphp命令执行 |
| 113 | Spring MVC命令执行漏洞 |
| 114 | Django命令执行漏洞 |
| 115 | Java反序列化任意命令执行漏洞 |
| 116 | IIS写文件漏洞 |
| 117 | IIS解析漏洞 |
| 118 | Apache解析漏洞 |
| 119 | CGI路径解析漏洞 |
2.测试系统范围
应用动态安全测试需覆盖我行全部互联网类应用系统,目前我行互联网类应用系统包括(但不限于)如下系统:
| 序号 | 系统名称 |
| 1 | 门户网站系统 |
| 2 | 企业网上银行系统 |
| 3 | 个人网上银行系统 |
| 4 | 手机银行系统 |
| 5 | 微信银行系统 |
| 6 | 智能客服 |
| 7 | 凤凰乡村游 |
| 8 | 掌上支付系统 |
| 9 | PAD营销服务系统 |
| 10 | 现金管理系统 |
| 11 | 移动办公系统 |
| 12 | 国际业务系统 |
| 13 | 资金管理系统 |
| 14 | 互联网金融支付 |
| 15 | 网上营业厅 |
| 16 | 企业手机银行 |
| 17 | 培训管理系统 |
3.测试要求
(1)测试环境:本次应用动态安全测试需在我行测试环境下开展实施;
(2)时效要求:
①需根据我行信息系统月版和紧急项目投产周期及时间计划,于项目投产前按要求对关联系统的增量版本完成应用动态安全测试内容;
②在本动态安全测试服务项目实施周期内,需针对测试系统范围中的各互联网类信息系统,至少开展一次全量版本的应用动态安全测试;
(3)测试轮次:需根据我行信息系统月版和紧急项目投产周期及时间计划,至少开展两轮应用动态安全测试。第一轮测试发现问题并给出整改意见,第二轮测试验证整改问题并评估最终测试结果。
(4)人员数量:在月版项目测试期间,应用动态安全测试驻场测试人员需不少于3人。
4.服务期限
2022年1月-2022年12月
(二)服务商准入标准
1、公司具有独立法人资格,注册资本500万元及以上;
2、具有同类型项目实施案例经验(需提供案例扫描件)。
请有意参与我行项目合作且符合准入条件的服务商,从http://www.bjrcb.com/pc/cn/index/xmxxgg/xxkj/20191031/1258548.shtml网址下载并填写《北京农商银行xxx项目服务商自荐表》,同时根据准入标准要求提供相应材料的扫描件,于2021年8月2日下午17点前发送至xinxjsh_shangwu@bjrcb.com邮箱中。
发送报名邮件要求:
1.邮件主题:公告编号+公司名称;邮件主题、正文、附件中不能含敏感字。
2.须以传统方式黏贴附件,不能发云附件;发送的附件(压缩文件、文档等)不得设置密码或编辑权限;单个邮件大小控制在15MB以内(如果超限,可分几个邮件发)。
3.服务商自荐表需提供盖章扫描件及Word可编辑版。
二、其它事项
(一)请在规定时间内参与报名,截至报名日期后我行将不再接受任何形式的申请材料。
(二)请提供服务商的有效联系方式,并保持通讯畅通,我行将电话联系入选的服务商,对于需要产品测评的项目,后续我行会组织服务商进行测评,测评未通过不能作为候选服务商,对未入选的服务商不另行通知。
(三)存在关联的公司在同一项目中只能参选1家公司。
(四)我行尊重参选服务商的隐私权,对服务商的信息严格保密,参选服务商应当对所提交资料的真实性承担责任,我行在参选服务商过程中的任何阶段发现参选服务商提交的材料不实,有权取消其参选资格。
三、联系人及咨询电话
联系人:郭女士
咨询电话:89198820
北京农商银行信息科技部
2021年7月23日
解决方案
联系我们
返回顶部