流程Р使用方法Р本标准第3章到第6章分别为移动税务公共查询类APP、自身查询类APP、移动办税类APP,以及面向税务干部的移动办公APP所有单元评估的内容,在章节上分别对应《开发规范》的第2章到第5章。在《开发规范》第2章到第5章中,各章的二级目录从应用安全、源码安全、数据安全、通信安全、服务端安全等安全层面进行划分和描述。Р本标准中针对每一个安全控制点的评估就构成一个单元评估,单元评估中的每一个具体评估实施要求项(以下简称“评估要求项”)是与《开发规范》安全控制点(如组件安全、认证安全等)下的要求项(以下简称“评估指标”)相对应的。在对每一要求项进行评估时,可能用到访谈、检查和测试三种测试方法,也可能用到其中一种或两种,为了描述简洁,在评估要求项中,没有针对每一个要求项分别进行描述,而是对具有相同评估方法的多个要求项进行了合并描述,但评估实施的内容完全覆盖了《开发规范》中所有要求项的评估要求,使用时,应当从单元评估的评估实施中抽取出对于《开发规范》中每一个要求项的评估要求,并按照这些评估要求开发评估指导书,以规范和指导安全评估活动。Р评估过程中,评估人员应注意对评估记录和证据的采集、处理、存储和销毁,保护其在评估期间免遭破坏、更改或遗失,并保守秘密。Р评估的最终输出是评估报告,评估报告模板见附录B《移动应用安全评估报告模板》。移动应用安全评估报告应给出移动应用系统在安全开发技术各个层面的评估结论,并给出评估判定结果(通过、不通过)。Р公共查询类单元评估Р应用安全Р评估指标见《开发规范》2.1。Р源码安全Р评估指标见《开发规范》2.2。Р数据安全Р评估指标见《开发规范》2.3。Р通信安全Р评估指标见《开发规范》2.4。Р服务端安全РSQL注入Р检测应用是否存在SQL注入漏洞,如果存在该漏洞,攻击者对注入点进行注入攻击,可轻易获得应用的后台管理权限,甚至应用服务器的管理权限。
全文预览
