Zabbix测试文档
文档编号:XXX12345678-001
版权所有? 2006-2013 杭州斯凯网络科技有限公司公司网址:https://www.doczj.com/doc/da6557623.html,
Zabbix测试文档XXX12345678-001
版权申明
本文档包含了来自杭州斯凯网络科技有限公司的机密技术和商业信息,这些信息作为杭州斯凯网络科技有限公司专用。接受本文档即视为表示同意对其内容保密,并且未经杭州斯凯网络科技有限公司书面许可,不得复制、泄露或散布本文档的全部或部分内容。
本文档及其描述的内容及产品的著作权和版权受有关法律保护,对本文档内容的任何形式的非法复制,泄露或散布,将导致承担相应的法律责任。
杭州斯凯网络科技有限公司保留在不另行通知的情况下修改本文档的权利,并保留对本文档内容的全部解释权。
“SKY-MOBI”标识是杭州斯凯网络科技有限公司的注册商标。
This document contains confidential technical and commercial information from SKY-MOBI Co., Ltd, and is intended for the use of Customers or SKY-MOBI’s partners only for the purposes of related projects to SKY-MOBI. No part of it may be reproduced or transmitted in any form or means without the written permission of SKY-MOBI.
This document and the product it describes are protected by copyright according to the applicable laws.
The information in this document is subject to change without notice and describes only the product defined in the introduction of this documentation. SKY-MOBI will, if necessary, explain issues, which may not be covered by the document.
“SKY-MOBI” logo is a registered trademark of SKY-MOBI Co., Ltd.
Zabbix测试文档XXX12345678-001修订历史
1.PART1.ZABBIX简介 (1)
1.1Z ABBIX简介 (1)
1.2Z ABBIX功能 (1)
1.3优劣势 (1)
2.PART2.安装部署 (2)
2.1服务端环境准备 (2)
2.2数据库准备 (2)
2.3编译安装 (2)
2.4配置文件及WEB前端文件修改 (3)
2.5WEB前端安装配置 (3)
2.6启动S ERVER (4)
2.7在HOSTS上配置AGENT (5)
3.PART3.配置使用 (6)
3.1添加H OSTS (6)
3.2添加I TEMS (6)
3.3添加T RIGGERS (8)
3.4添加A C TIONS (8)
3.5添加M EDIAS (9)
3.6添加U SERS (10)
3.7添加WEB M ONITORINGS (10)
3.8添加G RAPHS (13)
3.9添加S CREENS (14)
3.10添加M APS (15)
3.11添加M Y SQL监控 (16)
3.12添加O RACLE监控 (16)
3.13添加SNMP监控 (18)
3.14添加通用协议监控 (19)
3.15添加自定义监控 (19)
3.16添加T EMPLA TES (19)
3.17添加R EPOR TS(定制报表) (20)
3.18添加M ACROS (21)
3.19添加自动发现设备 (21)
3.20添加I NVENTOR Y (22)
3.21E XPOR T/I MPOR T XML (22)
3.22M AINTENANCE(维护时间) (23)
4.PART4.FAQ (24)
图表 1 (4)
图表 2 (6)
图表 3 (7)
图表 4 (7)
图表 5 (8)
图表 6 (9)
图表7 (9)
图表8 (10)
图表9 (11)
图表10 (11)
图表11 (12)
图表12 (12)
图表13 (13)
图表14 (13)
图表15 (14)
图表16 (15)
图表17 (15)
图表18 (16)
图表19 (18)
图表20 (18)
图表21 (19)
图表22 (19)
图表23 (20)
图表24 (20)
图表25 (21)
图表26 (22)
图表27 (22)
图表28 (23)
图表29 (23)
图表30 (24)
Zabbix测试文档XXX12345678-001
表格目录
未找到图形项目表。
1. Part1.Zabbix简介
1.1 Zabbix简介
Zabbix是一个企业级的开源分布式监控解决方案,由一个国外的团队持续维护更新,软件可以自由下载使用,运作团队靠提供收费的技术支持赢利。
官方网站:https://www.doczj.com/doc/da6557623.html,
Zabbix 1.8官方文档:https://www.doczj.com/doc/da6557623.html,/documentation/1.8/start
Zabbix通过C/S模式采集数据,通过B/S模式在web端展示和配置。
被监控端:主机通过安装agent方式采集数据,网络设备通过SNMP方式采集数据Server端:通过收集SNMP和agent发送的数据,写入MySQL数据库,再通过php+apache在web前端展示。
Zabbix运行条件:
Server:
Zabbix Server需运行在LAMP(Linux+Apache+Mysql+PHP)环境下,对硬件要求低Agent:
目前已有的agent基本支持市面常见的OS,包含Linux、HPUX、Solaris、Sun、windows
SNMP:
支持各类常见的网络设备
1.2 Zabbix功能
具备常见的商业监控软件所具备的功能(主机的性能监控、网络设备性能监控、数据库性能监控、FTP等通用协议监控、多种告警方式、详细的报表图表绘制)支持自动发现网络设备和服务器
支持分布式,能集中展示、管理分布式的监控点
扩展性强,server提供通用接口,可以自己开发完善各类监控
1.3 优劣势
优点:
开源,无软件成本投入
Server对设备性能要求低(实际测试环境:虚拟机Redhat EL AS5,2GCPU 1G内存,监控5台设备,CPU使用率基本保持在10%以下,内存剩余400M以上)支持设备多
支持分布式集中管理
开放式接口,扩展性强
缺点:
全英文,界面不友好
无厂家支持,出现问题解决比较麻烦
需在被监控主机上安装agent
2. Part2.安装部署
2.1 服务端环境准备
Zabbix Server需要运行在CentOS、RedHat Linux、Debain等Linux系统上,这里以RHEL AS5作为部署环境。
Root用户安装必须的包,建议配置好yum,通过yum安装下列包,解决包的依赖关系。
LAMP环境
#yum install mysql-server httpd php
其他需要用到的包:
#yum install mysql-dev gcc net-snmp-devel curl-devel perl-DBI php-gd php-mys
ql php-bcmath php-mbstring php-xml
下载最新的Zabbix安装包(官网:https://www.doczj.com/doc/da6557623.html,)到本地,解压
#tar zxvf zabbix-1.8.1.tar.gz
增加zabbix用户和组
#groupadd zabbix
#useradd –g zabbix –m zabbix
2.2 数据库准备
启动MySQL数据库:
#service mysqld start
修改MySQL root用户密码(默认密码为空)
#mysqladmin –u root –p password root
测试能否正常登陆数据库
#mysql –uroot –proot
创建Zabbix数据库
Mysql> create database zabbix character set utf8;
导入数据库sql脚本
#cd zabbix-1.8.1
# cat ./create/schema/mysql.sql |mysql -uroot -proot zabbix
# cat ./create/data/data.sql |mysql -uroot -proot zabbix
# cat ./create/data/images_mysql.sql |mysql -uroot -proot zabbix
2.3 编译安装
配置编译,prefix是安装后程序目录
# ./configure --with-mysql --with-net-snmp --with-libcurl --enable-server --enable-agent --enable-proxy --prefix=/usr/local/zabbix
# make
# make install
2.4 配置文件及web前端文件修改
添加服务端口,添加后如下
# grep zabbix /etc/services
zabbix-agent 10050/tcp # Zabbix Agent
zabbix-agent 10050/udp # Zabbix Agent
zabbix-trapper 10051/tcp # Zabbix Trapper
zabbix-trapper 10051/udp # Zabbix Trapper 添加配置文件
# mkdir -p /etc/zabbix
# cp ./misc/conf/* /etc/zabbix
# chown -R zabbix:zabbix /etc/zabbix
修改Server配置文件
基本不用修改,用默认配置即可,只需修改一项DBPassword=密码
# vi /etc/zabbix/zabbix_server.conf
修改Agentd配置文件,更改HOST NAME 为本机的hostname就好了
#vi /etc/zabbix/zabbix_agentd.conf
添加web前端php文件
# cd frontends/
# cp -rf php /var/www/html/
# cd /var/www/html
# mv php zabbix
# chown -R zabbix:zabbix zabbix
2.5 web前端安装配置
修改php相关参数
# vi /etc/php.ini 找到如下几项,改成下面的值,前面有;号的要删掉
max_execution_time = 300
date.timezone = Asia/Shanghai
post_max_size = 32M
memory_limit = 128M
mbstring.func_overload = 2
重启apache
#service httpd restart
在本地浏览器上访问Zabbis Serve地址开始web前端配置,http://ServerIP/zabbix
按提示一步步next,其中Step 3 Check of pre-requisites 必须全部项目OK后才能继续配置,如有提示fail,去server上检查是否安装这个包或配置是否按上述更改。
图表 1
Step 4 填入Zabbix Server 登陆mysql的用户和密码
Step 7 按提示下载配置文件到Server的/var/www/html/zabbix/conf下,名字一定要是zabbix.conf.php
配置完成后,出现登陆界面,默认的用户为:admin,密码为:zabbix
2.6 启动Server
安装完成后的server程序在/usr/local/zabbix/sbin/目录下,可以直接启动
#/usr/local/zabbix/sbin/zabbix_server
为了便于启停Server,我们做一些小配置
复制控制程序
# cp ./misc/init.d/redhat/zabbix_* /etc/init.d/
修改配置目录,将如下两个文件中的BASEDIR=改为/usr/local/zabbix, 下面两个配置中的bin改为sbin,ZABBIX_AGENTD,ZABBIX_SUCKERD
# vi /etc/init.d/zabbix_server_ctl
# vi /etc/init.d/zabbix_agentd_ctl
加入开机启动
# echo '/etc/init.d/zabbix_server_ctl start &' >>/etc/rc
# echo '/etc/init.d/zabbix_agentd_ctl start &' >>/etc/rc
创建快键方式
# ln -s /etc/init.d/zabbix_server_ctl /usr/bin/zabbix_server_ctl
# ln -s /etc/init.d/zabbix_agentd_ctl /usr/bin/zabbix_agentd_ctl 启动Server和Agentd(可以通过start stop restart来操作)
# zabbix_agentd_ctl start
# zabbix_server_ctl start
检查启动是否正常,查看进程是否起来,分server和agentd
#ps –ef|grep zabbix
如果进程没起来,可以查看对应的日志错误,默认在/tmp/zabbix-*.log
至此Zabbix Server的安装已完成
2.7 在hosts上配置agent
Zabbix需要在被监控的host上安装agent,在zabbix官网上下载相应平台的agent包到各被监控端,按如下方式在被监控上运行agent。(注:官网上下载的agent包里没有运行agentd所必须的配置文件,可以从zabbix server上拷贝一份zabbix_agentd.conf,这个conf 文件是所有平台都通用的)
Linux、UX:
Linux、UX上的agent是编译好了的,不用安装
#useradd zabbix
#cd /usr/local/zabbix
#tar zxvf zabbix_agents_1.8.linux2_6.i386.tar.gz
取一份server上的zabbix_agnetd.conf到本地,然后按说明修改,一般我们只需修改如下5个参数:
Hostname=本机名
Server=Zabbix Server IP
LogFile=本机agentd日志保存文件
SourceIP=本机IP
ListenPort=10050
修改完成后,运行agentd
#/usr/local/zabbix/sbin/zabbix-agentd –c /usr/local/zabbix/zabbix_agentd.conf &
#ps –ef|grep zabbix_agentd
如果进程没起来,可查看agentd.log日志来排查问题。(注:启动时建议用全路径,否则可能会出错)
加入开机运行
#echo ‘/usr/local/zabbix/sbin/zabbix-agentd –c /usr/local/zabbix/zabbix_agent d.conf &
‘ >>/etc/rc
Windows:
Windows下解压客户端包到c:,下载修改好的zabbix_agentd.conf文件也放到c:,打开cmd命令行,执行
C:>zabbix_agentd –install
安装后会在系统服务里添加一个zabbix_agentd服务,会自动开机运行
如果需要将客户端和配置文件放在其他目录,请执行
C:>DIR/zabbix_agentd –c DIR/zabbix_agentd.conf –install
启动agentd服务
C:>zabbix_agentd –start
或是通过管理->服务找到zabbix_agentd来启动
3. Part3.配置使用
通过本地浏览器访问http://ServerIP/zabbix来开始配置和使用zabbix。
使用zabbix进行监控之前,要理解zabbix监控的流程。
一次完整的监控流程可以简单描述为:
Host Groups(设备组)->Hosts(设备)->Applications(监控项组)->Items(监控项)->Triggers(触发器)->Actions(告警动作)->Medias(告警方式)->User Groups(用户组)->Users(用户)
3.1 添加Hosts
Host是Zabbix监控的基本载体,所有的监控项都是基于host的。
通过Configuration->Hosts->Create Host来创建监控设备
图表 2
按提示填入Name、Groups、IP ,其他选项默认即可,Link Templates 处选择一个模板,save即可成功添加设备。(注:如果host上没安装agent,添加后的状态会是unmonitor,会采集不到值,Zabbix自带大量的设备监控模板,我们添加主机时通过link到这些模板,就可以快速添加主机的监控项和告警触发条件。)
一类的hosts可以归属到同一个Host Group,便于分类管理同一类设备,在Configuration->Host Group->Create Host Group 可以添加设备组
3.2 添加Items
Item是监控项,是监控的基本元素,每一个监控项对应一个被监控端的采集值。
在Configuration->Hosts界面,我们能看到每个host所包含的items总数,点击对应主机的items项,可以看到具体的每个item信息,这些items可以引用自templates,也可以
自己创建。
图表 3
通过点击具体item名字可以修改已有监控项的属性,点击Satus的链接可以禁用/启用这个监控项。(注:我们可以通过新建一个template,在template中禁用掉所有不需要用到的items,然后把同一类hosts link to这个template,就不用一台台主机去更改items)新增item可以通过点击右上角的create item来创建
图表 4
按提示逐项填入相关信息即可,其中key是zabbix已经自带的取值方法,Application类似于host groups,是item的组。(item key也可以自定义,后面会讲到如何自定义监控项)
Zabbix自带非常多的监控采集项及方法,基本能满足当前所有的监控功能,这些都包
3.3 添加Triggers
Trigger是触发器,当Items采集值满足triggers的触发条件时,就会产生actions。
每一个trigger必须对应一个item,但一个item可以对应多个trigger。
同样,通过点击Configuration->Hosts->Triggers中某个trigger的名字,可以修改trigger的属性。(注意:引用自template的trigger触发值是不能单独修改的,必须在template中修改,或是复制一个同样的trigger再修改,然后禁用掉之前的)新增trigger可以通过点击右上角的create trigger来创建
图表 5
Expression中选择对应的item、触发方式及触发值,Severity是告警级别,根据trigger 的严重性来选择。
Zabbix 提供多种trigger触发方式供选择,常用的我们可以选择last value /=/#/N(最近一次采集值),或是选择maximal value for period of time (一段时间内的最大值),等等。可以
3.4 添加Actions
Action是告警动作,当触发器条件被满足时,就会执行指定的action。
通过Configuration->Actions->Create Action来创建Action
图表 6
Event source:来源
triggers,即所有的triggers条件满足时都会执行这个action
Discovery:自动发现模块
Auto registration:事件产生记录
Escalations:告警是否升级,及升级时间
Subject、Message:告警标题和内容,此处可引用zabbix的宏变量;例如{{HOSTNAME}:{TRIGGER.KEY}.last(0)}表示最后一次采集值,更多宏变量参考: https://www.doczj.com/doc/da6557623.html,/documentation/1.8/manual/config/macros
Recovery Message:告警恢复信息,不勾选系统会用默认的,勾选后自定义
Conditions:trigger产生的条件,条件可以多选
Operation:选择media 及user
3.5 添加Medias
Media,即告警方式,Zabbix可以提供四类Media:Email/SMS/Jabber/Script,通过Administrator->Media Type来修改或新增告警方式
Email方式最常用的,填入相关的SMTP信息,即可通过邮件方式发送告警。
图表7
SMS方式要在server主机上接入短信modem。
Jabber方式是一种linux下的即时通讯工具,通过Jabber发送即时消息。
Script方式可以通过自己编写程序或脚本的方式发送告警信息。
3.6 添加Users
在Administrator->Users 可以添加用户和用户组
通过User Group可以限制用户的权限,zabbix自带的用户组的权限限制基本能满足我们的要求。
创建用户时可以根据用户的不同作用划分到不同的组,media中填入告警接受地址及告警接受时间等信息。
图表8
3.7 添加WEB Monitorings
Web Monitoring是用来监控web程序的,可以监控到web程序的下载速度、返回码及响应时间,还支持把一组连续的web动作作为一个整体来监控。
下面我们以监控登陆zabbix的web程序为例,来展示如何使用web monitoring。
Configuration->web->Create Scenario 创建一个Scenario(注:必须选择host后才能创建scenario,zabbix的所有items都必须创建在hosts上)
图表9
Application:选择这个scenario所在的application组
Name:scenario的名字
Basic authentication:鉴权
Update interval:监控频率,s为单位
Agent:选择要使用的浏览器客户端,可能同样的web程序对不同的客户端展示的内容会不一样
Status:默认为active
V ariables:变量定义,这里定义的变量可在后续的steps中使用,这里我们定义了用户和密码的变量
Steps:web 程序的各个步骤,选择add新增一个Login的step,来模拟用户登陆,传递用户和密码给index.php页面
图表10
URL:监控的web页面(注:必须是全路径带页面名)
Post:传递给页面的参数,多个参数之间用&连接,此处可引用前面定义的变量
Timeout:超时时间
Required:页面中能匹配到字符,匹配不到即认为错误
Status codes:页面返回码
添加完step后,我们在Monitoring->web页面即能看到监控的状态和图示
图表11
创建完scenario后,zabbix server会自动创建相关的items,所以我们只需为这些items 添加triggers即可让web scenario出错时产生告警
Configuration->hosts->点击scenario所在的host条目的trigger,直接create trigger,在select items的时候就可以看到系统自动创建的items(注:自动创建的items在host的items列表中直接是看不到的,需要在创建trigger时选择items时才能看到)
图表12
可以在items列表中看到,系统为每个step创建了3个item,Download Speed/Response Code/Response Time,为整个scenario创建了一个test.fail的item,可以分别为其创建trigger
下例我们创建一个Login页面返回码的trigger,大于等于400即为错误
图表13
再创建一个整个scenario所有step运行是否成功的trigger,采集值为0表示整个scenario的所有step都执行成功了,第几步的step执行失败就返回数字几,且后续的step 都不会继续执行下去。
图表14
这样,一个完整的web monitoring就配置完成了。
Web monitoring还有更多强大的功能,未能一一研究了解,有待挖掘
3.8 添加Graphs
Zabbix的Graphs功能很强大,可以为每一个item绘制图表,也可以把多个items绘制在一张图表内。
通过configuration->hosts选择要绘制图表的host,点击graphs,create graphs即可创建图表。
图表15
Graph type:图表样式,有线状、柱状、饼状
还可以自定义图表大小,及Y轴最大最小值
通过add items可以添加在同一个图表中展示的多个items(注:注意每个item的颜色及取值范围,范围相差太大图表会显示不全)
配置好的graphs在monitoring->graphs中查看
在monitoring->last data下能快速查看每个host的每个item的graph
3.9 添加Screens
Screen将多种信息放在一起展示,便于集中展示某个host的多个信息,或是比较多个hosts的同一种信息,这些信息可以为graphs、maps、server infos等等,几乎涵盖zabbix所有的监控信息。
通过configuration->screen->creat screen来创建,创建时定义screen的行数和列数,点击对应单元格内的change,添加相应的信息
Xxx系统安全测试报告 拟制:王道勇日期:2011-6-23 审核:日期: 批准:日期:
1.目的和范围 本测试报告为xxx系统安全测试报告,测试执行了所有测试用例。测试点包括:行权功能优化、委托功能优化、批量导入PBC功能优化。 1.1.目的 本文是xx系统安全测试报告,说明当前发布版本质量 1.2.范围 本文报告了本次测试的汇总数据,测试评价及测试结论 2.测试信息汇总 2.1.测试时间、地点、人力 2.2.基础统计数据 本次安全测试分2轮安全测试,测试用例覆盖率到达100% 用例执行情况如下:
执行用例总数=通过用例数+失败用例数+阻塞用例数+废弃用例数分析:第2轮系统较稳定,测试用例成功执行率高于第1轮。测试结果执行情况如下: 问题单数: 问题类别: 问题缺陷类型:
模块: 2.3.未解决缺陷说明 测试过程共发现问题:xx个。共解决问题:xx个。未解决问题:0个。详细信息请参考xxx 系统缺陷管理库 3.测试评价 3.1.测试充分性评价 对xxx进行了以下系统安全测试 测试的功能点包括: 系统安全测试执行的测试用例,测试覆盖全面。
严重程度,经过2轮的安全测试,系统达到安全需求 安全测试中,按照与业务部门确认的测试用例,测试覆盖全面,所有问题通过回归测试3.2.与需求符合性评价 Xxx系统的安全测试需求覆盖详细情况请参考《xxx系统需求说明书》 4.测试结论 本次测试覆盖全面,测试数据基础合理,测试有效。 SQL注入测试,已执行测试用例,问题回归后测试通过 跨站脚本测试,测试发现文本框对尖括号、百分号、单引号、圆括号、双引号进行了转义,测试通过。 跨目录测试,已执行测试用例,路径已加密,无漏洞,测试通过 用户权限控制和权限数据控制安全测试,已执行测试用例,问题经回归后测试通过。 综合以上结论得出本次测试通过 5.参考引用与术语 5.1.参考引用 无 5.2.术语 无 6.附录
软件安全性测试报告 软件安全性测试包括程序、数据库安全性测试。根据系统安全指标不同测试策略也不同。 用户认证安全的测试要考虑问题: 1.明确区分系统中不同用户权限 2.系统中会不会出现用户冲突 3.系统会不会因用户的权限的改变造成混乱 4.用户登陆密码是否是可见、可复制 5.是否可以通过绝对途径登陆系统(拷贝用户登陆后的链接直接进入系统) 6.用户推出系统后是否删除了所有鉴权标记,是否可以使用后退键而不通过输入口令进入系统 系统网络安全的测试要考虑问题: 1.测试采取的防护措施是否正确装配好,有关系统的补丁是否打上 2.模拟非授权攻击,看防护系统是否坚固 3.采用成熟的网络漏洞检查工具检查系统相关漏洞(即用最专业的黑客攻击工具攻击试一下,现在最常用的是NBSI系列和IPhacker IP) 4.采用各种木马检查工具检查系统木马情况 5.采用各种防外挂工具检查系统各组程序的客外挂漏洞 数据库安全考虑问题: 1.系统数据是否机密(比如对银行系统,这一点就特别重要,一般的网站就没有太高要求) 2.系统数据的完整性(我刚刚结束的企业实名核查服务系统中就曾存在数据的不完整,对于这个系统的功能实现有了障碍) 3.系统数据可管理性 4.系统数据的独立性 5.系统数据可备份和恢复能力(数据备份是否完整,可否恢复,恢复是否可以完整)
秋*;当MFC片刊卫” (W “? :5 心也“八 * HlLf咯丹& 咲士劃试址评怖 ■■|J W^|> 吕甜化比 WZZ* :芒 h V ?: 土闵森;I电特 江[」"■、i」 Hi'H5;.P ?"■ .ir ■;、:1八 股 ■ ■■ = ■■■ '..? -I \ K L,^p . t IH ■.: 1T7V 缈 .b-H^-f.^r- . r 工=i弘也”丸■£?;. k..x i 人{:此确币 吃 m* 冬 ji.lp- A Vtll t解X■也 曲r爭*觐虐詹出「丄二一「!__空亠- ,辛ffpiR; 芷MH *?(■、':.'".亍 \ m 1.*11 i :II
In The Actual Work Production Management, In Order To Ensure The Smooth Progress Of The Process, And Consider The Relationship Between Each Link, The Specific Requirements Of Each Link To Achieve Risk Control And Planning 某某管理中心 XX年XX月 安全检测线操作规程示范 文本
规程文书样本 QCT/FS-ZH-GZ-K403 安全检测线操作规程示范文本 使用指引:此操作规程资料应用在实际工作生产管理中为了保障过程顺利推进,同时考虑各个环节之间的关系,每个环节实现的具体要求而进行的风险控制与规划,并将危害降低到最小,文档经过下载可进行自定义修改,请根据实际需求进行调整与使用。 1、检测设备只能由受过专业培训和教育的可靠的操作员操作。 2、开机前应检查检测线各项设备仪具确保在工作机器旁边没有危险。 3、每次在开动检测台前要确保系统使用状态正确和安全。 4、操作时不许断开安全装置,改变或不按原规定使用。检测作业时,禁止检测线周边站有人员。 5、服用麻醉剂、酒或药物后的人员严禁操作本设备。 6、禁止测试每个车轮承重超过规定的车轴。 请在此位置输入品牌名/标语/slogan Please Enter The Brand Name / Slogan / Slogan In This Position, Such As Foonsion 第2页/总2页
安全测试内容 一、企业文化知识 企业文化:由企业领导提倡,全体员工共同遵守的文化传统和不断革新的管理方式,是企业核心竞争力的重要组成部分。 中石油核心经营管理理念:诚信创新业绩和谐安全 西南油气田企业精神、宗旨:1)企业精神:爱国创业求实奉献2)企业宗旨:奉献能源创造和谐。 集团公司安全环保理念:环保优先、安全第一、质量至上、以人为本 企业宗旨:奉献能源创造和谐 企业精神:爱国、创业、求实、奉献 核心经营管理理念:诚实、创新、业绩、和谐、安全 二、HSE基本知识 西南油气田公司的HSE方针:以人为本、预防为主、全员参与、持续改进。 2013年工作会的目标努力实现“质量零缺陷、安全零伤害、环境零污染”目标,确保公司安全生产形势持续好转。 十条禁令: 一、严禁特种作业无有效操作证人员上岗操作; 二、严禁违反操作规程操作; 三、严禁无票证从事危险作业; 四、严禁脱岗、睡岗和酒后上岗; 五、严禁违反规定运输民爆物品、放射源和危险化学品; 六、严禁违章指挥、强令他人违章作业; 七、严禁高处作业不系挂安全带; 八、严禁在生产场所吸烟; 九、严禁未经授权拆除锁具和警示标识; 十、严禁超速行驶、驾驶时使用手机,乘车不系安全带 中国石油HSE管理九项原则 1、任何决策必须优先考虑健康安全环境 2、安全是聘用的必要条件 3、企业必须对员工进行健康安全环境培训 4、各级管理者对业务范围内的健康安全环境工作负责
5、各级管理者必须亲自参加健康安全环境审核 6、员工必须参与岗位危害识别及风险控制 7、事故隐患必须及时整改 8、所有事故事件必须及时报告、分析和处理 9、承包商管理执行统一的健康安全环境标准 有感领导:企业各级领导通过以身作则的良好个人安全行为,使员工真正感知到安全生产的重要性,感受到领导做好安全的示范性,感悟到自身做好安全的必要性 属地管理:属地管理,就是“谁的领域谁负责、谁的区域谁负责、谁的属地谁负责”。 直线责任 直线责任是指:机关职能部门和各级管理人员,包括机关职能部门的领导和人员在内,都有直线责任,都应该对业务范围内的HSE工作负责,都应结合本岗位管理工作负责相应HSE管理。 直线责任,就是“谁的工作,谁负责”,简明地讲就是“谁是第一责任人,谁负责安全”、“谁主管,谁负责”、“谁安排,谁负责”、“谁组织,谁负责”、“谁执行,谁负责”、“谁检查,谁负责”、“谁监督,谁负责”、“谁设计编写,谁负责”、“谁审核,谁负责”、“谁批准,谁负责”、“谁签字,谁负责”。 行为安全观察与沟通六步法;1.观察;2.表扬;3.讨论 4. 沟通;5. 启发; 6. 感谢 行为安全观察与沟通内容1. 员工的反应; 2. 员工的位置; 3. 个人防护装备; 4. 工具和设备5. 程序;6. 人体工效学; 7. 整洁. PSSR:启动前安全检查 JCA:工作循环分析 STOP卡:停止作业卡 JSA:工作安全分析 西南油气田分公司作业许可管理规定10项制度 ①作业许可管理规定;②工业动火作业安全管理规定;③高空作业安全管理规定; ④进入受限空间作业安全管理规定;⑤临时用电作业安全管理规定;⑥生产作业场所动土作业安全管理规定;⑦吊装作业安全管理规定;⑧管线与设备打开作业安全管理规定;⑨领导干部安全生产联系管理办法;⑩工程技术服务承包商健康安全环境管理办法 安全色:红、蓝、黄、绿1)红色表示禁止、停止的意思。2)黄色表示注意、警告的意思。3)蓝色表示指令、必须遵守的意思4)绿色表示通行、安全和提供信息的意思。 安全线:工矿企业中用以划分安全区域与危险区域的分界线。厂房内安全通道的标示线,铁路站台上的安全线都是属于此列。根据国家有关规定,安全线用白色,宽度不小于60㎜。 安全标志类型:禁止标志、警告标志、指令标志、提示标志 三、其它
安全性测试报告 Revised by Petrel at 2021
安全性测试报告陈星 1、Sql注入:后台身份验证绕过漏洞 验证绕过漏洞就是'or'='or'后台绕过漏洞,利用的就是AND和OR的运算规则,从而造成后台脚本逻辑性错误 例如管理员的账号密码都是admin,那么再比如后台的数据库查询语句是 user=request("user") passwd=request("passwd") sql='selectadminfromadminbatewhereuser='&'''&user&'''&'andpasswd=' &'''&passwd&''' 那么我使用'or'a'='a来做用户名密码的话,那么查询就变成了 selectadminfromadminbatewhereuser=''or'a'='a'andpasswd=''or'a'='a' 这样的话,根据运算规则,这里一共有4个查询语句,那么查询结果就是假or真and假or真,先算and再算or,最终结果为真,这样就可以进到后台了 这种漏洞存在必须要有2个条件,第一个:在后台验证代码上,账号密码的查询是要同一条查询语句,也就是类似
sql="select*fromadminwhereusername='"&username&'&"passwd='"&p asswd&' 如果一旦账号密码是分开查询的,先查帐号,再查密码,这样的话就没有办法了。 第二就是要看密码加不加密,一旦被MD5加密或者其他加密方式加密的,那就要看第一种条件有没有可以,没有达到第一种条件的话,那就没有戏了 2、跨站脚本攻击 XSS跨站脚本攻击一直都被认为是客户端Web安全中最主流的攻击方式。因为Web环境的复杂性以及XSS跨站脚本攻击的多变性,使得该类型攻击很难彻底解决。跨站脚本攻击是指攻击者利用网站程序对用户输入过滤不足,输入可以显示在页面上对其他用户造成影响的HTML代码,从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。 3、文件上传测试。网站用户可以上传自己的头像,上传图片格式的文件可以成功,非图片就不会成功上传。 4、系统权限测试。 用商家或学生用户账户密码,无法登陆管理员管理后台。学生和未登陆用户不能发布招收兼职的信息,商家用户登陆才能发布此信息。不同用户拥有不同的权限。 5、Cookie安全性测试。
信息系统安全检测报告我校对信息安全和保密工作十分重视,成立了专门的领导组,建立健全了信息安全保密责任制和有关规章制度,由教务处网络管理室统一管理,负责网络信息安全工作。严格落实有关网络信息安全保密方面的各项规定,采取了多种措施防范安全保密有关事件的发生,总体上看,我校网络信息安全保密工作做得比较扎实,效果也比较好,近年来未发现失泄密问题。 一、计算机涉密信息管理情况 今年以来,我校加强组织领导,强化宣传教育,落实工作责任,加强日常监督检查。对于计算机磁介质(软盘、U盘、移动硬盘等)的管理,采取专人保管、涉密文件单独存放,严禁携带存在涉密内容的磁介质到上网的计算机上加工、贮存、传递处理文件,形成了良好的安全保密环境。涉密计算机严禁接入局域网,并按照有关规定落实了保密措施,到目前为止,未发生一起计算机失密、泄密事故;其他非涉密计算机及网络使用也严格按照计算机保密信息系统管理办法落实了有关措施,确保了考试信息安全。 二、计算机和网络安全情况 一是网络安全方面。我校终端计算机均安装了防病毒软件、软件防火墙,采用了强口令密码、数据库存储备份、移动存
储设备管理、数据加密等安全防护措施,明确了网络安全责任,强化了网络安全工作。 二是日常管理方面切实抓好局域网和应用软件管理,确保“涉密计算机不上网,上网计算机不涉密”,严格按照保密要求处理光盘、硬盘、优盘、移动硬盘等管理、维修和销毁工作。重点抓好“三大安全”排查:一是硬件安全,包括防雷、防火、防盗和电源连接等;二是网络安全,包括网络结构、安全日志管理、密码管理、IP管理、互联网行为管理等;三是应用安全,公文传输系统、软件管理等。 三、硬件设备使用合理,软件设置规范,设备运行状况良好。我校每台终端机都安装了防病毒软件,系统相关设备的应用一直采取规范化管理,硬件设备的使用符合国家相关产品质量安全规定,单位硬件的运行环境符合要求,打印机配件、色带架等基本使用设备原装产品;防雷地线正常,对于有问题的防雷插座已进行更换,防雷设备运行基本稳定,没有出现雷击事故,局域网系统运行安全。 四,通迅设备运转正常 我校网络系统的组成结构及其配置合理,并符合有关的安全规定;网络使用的各种硬件设备、软件和网络接口是也过安全检验、鉴定合格后才投入使用的,自安装以来运转基本正常。 五、严格管理、规范设备维护
XX检测计划 作者: 版本: 时间: 目录 一、检测背景- 1 - 二、检测目标- 1 -
三、检测方案- 1 - 1.方案概况- 1 - 2.配合要求- 2 - 3.检测流程- 2 - 4.检测对象- 3 - 5.检测周期- 3 - 四、风险声明- 4 - 1.操作系统和常见应用漏洞扫描- 4 - 2.WEB应用漏洞扫描- 5 - 一、检测背景 二、检测目标 三、检测方案 1.方案概况
2.配合要求 ?人员配合要求 ?提供的资料文档 ?提供的现场环境和条件 3.检测流程 信息收集:此阶段中,渗透检测小组进行必要的信息收集,通过现场访谈确定检测时间、检测方式、检测地点、注意事项等。通过互联网搜集,获取IP 地址、DNS 域名、应用系统、软硬件环境等。初步完成分析网络拓扑、操作系统、数据库版本等相关环境的目标。 渗透检测:此阶段中,渗透检测小组根据信息收集阶段分析的信息,从互联网模拟黑客攻击方式,对外部网络、系统进行渗透检测。此阶段如果发现问题,进行收集证据,简单利用漏洞获取非敏感信息,证明漏洞可用;如果未发现问题则渗透检测结束。 本次测试将大量使用自动化检测设备进行测试,主要针对网站安全性,网站敏感字,网页暗链进行检测。 输出报告:此阶段中,渗透检测小组根据检测的结果编写直观的渗透检测服务报告。
4.检测对象 序号名称域名IP地址备注 1 2 3 4 5.检测周期 编号阶段名工作内容最早启动时间最早结束时间最晚启动时间最晚结束时间最长天数
四、风险声明 1.操作系统和常见应用漏洞扫描 在使用扫描器对目标系统扫描的过程中,可能会出现以下的风险:?占用带宽(风险不高)。 ?进程、系统崩溃。由于目标系统的多样性及脆弱性,或是目标系统上某些特殊服务本身存在的缺陷,对扫描器发送的探测包或者渗透测试工具发出的测试数据不能正常响应,可能会出现系统崩溃或程序进程的崩溃。 ?登录界面锁死。扫描器可以对某些常用应用程序(系统登录、,SNMP,SSH,WEBLOGIC)的登录口令进行弱口令猜测验证,如果目标系统对登录失败次数进行了限制,尝试登录次数超过限定次数系统可能会锁死登录界面。 风险规避方法: ?根据目标系统的网络、应用状况,调整扫描测试时间段,采取避峰扫描; ?对扫描器扫描策略进行配置,适当调整扫描器的并发任务数和扫描的强度,可使减少扫描器工作时占用的带宽,降低对目标系统影响; ?根据目标系统及目标系统上运行的应用程序,通过与测评委托方相关人员协商,定制针对本系统测试的扫描插件、端口等配置,尽量合理设置扫描强度,降低目标系统或进程崩溃的风险; ?如目标系统对登录某些相关程序的尝试次数进行了限制,在进行扫描时,可屏蔽暴力猜解功能,以避免登录界面锁死的情况发生。
安全测试 网页安全检查点 1 输入的数据没有进行有效的控制和验证 1) 数据类型(字符串,整型,实数,等) 2) 允许的字符集 3) 最小和最大的长度 4) 是否允许空输入 5) 参数是否是必须的 6) 重复是否允许 7) 数值范围 8) 特定的值(枚举型) 9) 特定的模式(正则表达式)(注:建议尽量采用白名单) 2 用户名和密码 1) 检测接口程序连接登录时,是否需要输入相应的用户 2) 是否设置密码最小长度(密码强度) 3) 用户名和密码中是否可以有空格或回车? 4) 是否允许密码和用户名一致 5) 防恶意注册:可否用自动填表工具自动注册用户?(傲游等) 6) 遗忘密码处理 7) 有无缺省的超级用户?(admin等,关键字需屏蔽) 8) 有无超级密码? 9) 是否有校验码? 10) 密码错误次数有无限制? 11) 大小写敏感? 12) 口令不允许以明码显示在输出设备上 13) 强制修改的时间间隔限制(初始默认密码) 14) 口令的唯一性限制(看需求是否需要) 15) 口令过期失效后,是否可以不登陆而直接浏览某个页面 16) 哪些页面或者文件需要登录后才能访问/下载 17) cookie中或隐藏变量中是否含有用户名、密码、userid等关键信息 3 直接输入需要权限的网页地址可以访问 避免研发只是简单的在客户端不显示权限高的功能项 举例Bug: 1) 没有登录或注销登录后,直接输入登录后才能查看的页面的网址(含跳转页面),能直接打开页面; 2) 注销后,点浏览器上的后退,可以进行操作。 3) 正常登录后,直接输入自己没有权限查看的页面的网址,可以打开页面。 4) 通过Http抓包的方式获取Http请求信息包经改装后重新发送 5) 从权限低的页面可以退回到高的页面(如发送消息后,浏览器后退到信息填写页面,这就是错误的)4 上传文件没有限制 1) 上传文件还要有大小的限制。 2) 上传木马病毒等(往往与权限一起验证) 3) 上传文件最好要有格式的限制; 5 不安全的存储 1) 在页面输入密码,页面应显示“*****”;
安全性测试与评估报告 1 客户信息 XX 2 测试过程示意图 本测试主要包括主动模式和被动模式两种。在被动模式中,测试人员尽可能的了解应用逻辑:比如用工具分析所有的HTTP请求及响应,以便测试人员掌握应用程序所有的接入点(包括HTTP头,参数,cookies等);在主动模式中,测试人员试图以黑客的身份来对应用及其系统、后台等进行渗透测试,其可能造成的影响主要是数据破坏、拒绝服务等。一般测试人员需要先熟悉目标系统,即被动模式下的测试,然后再开展进一步的分析,即主动模式下的测试。主动测试会与被测目标进行直接的数据交互,而被动测试不需要。
表1 风险等级界定表
4 测试周期 本次安全测试,Sobug提供了核心白帽子XX名,测试周期X个月,对整个目标业务系统进行了详细的渗透测试。测试后的详细测试报告已经交由客户,并提供详细的顾问咨询服务,帮助客户整改。 5 测试报告汇总 6关于Sobug Sobug白帽众测是以众多安全专家的测试结果为导向的技术众包平台,帮助厂商在产品上线前对安全问题进行全面,有效的审计,同样也适用于上线后对安全问题的周期性巡检。 Sobug安全测试优势: ?安全的授权,平台双方均在授权下才能完成此测试过程,厂商需要签订合同,安全专家需要实名。
?行为的审计,对于保密性要求较高的厂商,可由平台提供堡垒机或厂商提供VPN,对测试行为进行审计。 ?过程的竞争,对于同一个安全问题,平台只奖励首个发现该问题的安全专家,充分挖掘潜在安全问题。 ?结果的保密,安全专家非经厂商允许,不能对外透露测试过程和结果的任何细节。 ?风险的规避,平台对双方在测试过程中发生的纠纷提供强有力的法律援助,最大限度保障平台双方的权益不受损害。 7总结 鉴于互联网安全风险的与日俱增,本次测试报告只代表当前风险评估现状,我们建议客户根据测试的结果进行安全整改,把安全风险降到最低,同时进行周期性的安全测试,本公司与XX已经建立长期的合作关系,作为安全顾问帮助客户进行安全体系的建设和安全能力水平的提升。 Sobug众测平台的介绍: Sobug众测平台是一个连接安全专家与厂商的网络安全众测平台,安全专家在平台上发现厂商的安全问题,厂商基于测试效果对安全专家进行奖励。目前接受Sobug众测平台服务的厂商有腾讯、爱奇艺、支付宝、锤子科技、37wan、PPTV、乐视网、Okcoin比特币、500彩票、脸萌、爱拍网、荔枝FM、卖座网等厂商。 Sobug众测的模式: 厂商在平台上发布需要测试的项目,比如*https://www.doczj.com/doc/da6557623.html, (https://www.doczj.com/doc/da6557623.html,为您的产品域名)众多实名认证的白帽子在平台上查看项目并对其进行测试,最终将漏洞详情提交到Sobug众测平台。 漏洞处理的方式: 测试结果提交到Sobug平台,由平台审核确认后同步给您来处理,整个漏洞处理的闭环
网站安全性测试体系 目录 1文档概述 (2) 1.1文档目的 (2) 1.2文档范围 (2) 1.3 读者对象 (2) 1.4 历史记录 (3) 2. 安全测试检查点 (3) 2.1网页安全检查点 (3) 2.1.1输入的数据没有进行有效的控制和验证 (3) 2.1.2 用户名和密码 (3) 2.1.3 直接输入需要权限的网页地址可以访问 (4) 2.1.4 上传文件没有限制 (4) 2.1.5 不安全的存储 (4) 2.1.6 操作时间的失效性 (5) 2.1.7 日志完整性 (5) 2.2系统服务器安全检查点 (5) 2.3数据库安全检查点 (6) 2.3支付宝接口检查点 (6) 3.网页安全测试工具 (7) 3.1 IBM AppScan (7)
3.2 HttpWatch (7) 3.3 Acunetix Web Vulnerability (7) 4.信息安全入侵测试 (9) 4.1上传漏洞 (9) 4.2暴库 (9) 4.3注入漏洞 (9) 4.4旁注 (11) 4.5COOKIE诈骗 (11) 5.测试用例模板 (11) 1文档概述 1.1文档目的 根据莱尔巴蒂电子商务网站的安全需求,对网站进行安全测评,测试内容涉及服务器主机安全、应用安全和数据安全,以及网站的重要安全隐患,如跨站脚本攻击、SQL注入、信息泄露、不安全的配置管理、支付方面、用户信息方面、商品管理方面等。 1.2文档范围 包括首页网页安全检查点、数据库安全检查点、系统安全检查点、接口安全测试等几方面展开 1.3 读者对象 公司内部测试,研发成员及管理层及第三方顾问
1.4 历史记录 (A-添加,M-修改,D-删除) 2. 安全测试检查点 2.1网页安全检查点 2.1.1输入的数据没有进行有效的控制和验证 1)数据类型(字符串,整型,实数,等) 2)允许的字符集 3)最小和最大的长度 4)是否允许空输入 5)参数是否是必须的 6)重复是否允许 7)数值范围 8)特定的值(枚举型) 9)特定的模式(正则表达式)(注:建议尽量采用白名单) 2.1.2用户名和密码 1)检测接口程序连接登录时,是否需要输入相应的用户 2)是否设置密码最小长度(密码强度) 3)用户名和密码中是否可以有空格或回车? 4)是否允许密码和用户名一致 5)防恶意注册:可否用自动填表工具自动注册用户?(傲游等) 6)遗忘密码处理 7)有无缺省的超级用户?(admin等,关键字需屏蔽)
安全性测试报告 123012011112 陈星 1、Sql注入:后台身份验证绕过漏洞 验证绕过漏洞就是'or'='or'后台绕过漏洞,利用的就是AND和OR 的运算规则,从而造成后台脚本逻辑性错误 例如管理员的账号密码都是admin,那么再比如后台的数据库查精品文档,你值得期待 询语句是 user=request("user") passwd=request("passwd") sql='select admin from adminbate where user='&'''&user&'''&' and passwd='&'''&passwd&''' 那么我使用'or 'a'='a来做用户名密码的话,那么查询就变成了 select admin from adminbate where user=''or 'a'='a' and passwd=''or 'a'='a' 这样的话,根据运算规则,这里一共有4个查询语句,那么查询结
果就是假or真and假or真,先算and 再算or,最终结果为真,这样就可以进到后台了 这种漏洞存在必须要有2个条件,第一个:在后台验证代码上,账号密码的查询是要同一条查询语句,也就是类似 sql="select * from admin where username='"&username&'&"passwd='"&passwd&' 如果一旦账号密码是分开查询的,先查帐号,再查密码,这样的话就没有办法了。 第二就是要看密码加不加密,一旦被MD5加密或者其他加密方式加密的,那就要看第一种条件有没有可以,没有达到第一种条件的话,那就没有戏了 2、跨站脚本攻击 XSS跨站脚本攻击一直都被认为是客户端Web安全中最主流的攻击方式。因为Web环境的复杂性以及XSS跨站脚本攻击的多变性,使得该类型攻击很难彻底解决。跨站脚本攻击是指攻击者利用网站程序对用户输入过滤不足,输入可以显示在页面上对其他用户造成影响的HTML代码,从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。