How To Test Application Platform Configuration

Chuyên đề thảo luận về Security Testing.
Forum rules
Chuyên đề này chỉ thảo luận về Security Testing.
Để có kết quả nhanh, các bạn nên search trước khi tạo chủ đề mới.
Post Reply
nvnhan282
Hoc Tester
Posts: 5
Joined: Fri 16 Jan, 2015 11:27 am
Contact:

How To Test Application Platform Configuration

Post by nvnhan282 » Fri 13 Apr, 2018 10:33 am

Cấu hình đúng cho mỗi thành phần tạo nên kiến trúc của một hệ thống là rất quan trọng. Việc này giúp ngăn ngừa sai sót về vấn đề bảo mật của toàn bộ hệ thống. Trong một hệ thống, sẽ có nhiều hệ thống (phần mềm, phần cứng và các thiết bị) khác nhau được kết nối lại với nhau. Thường thì mỗi thành phần / hệ thống con này sẽ có cấu hình và tiêu chuẩn khác nhau (tùy vào nhà sản xuất) nên chúng có thể không tương thích lẫn nhau.

Vì vậy, kiểm thử cấu hình kỹ lưỡng là một nhiệm vụ cực kỳ quan trọng trong quá trình xây dựng và duy trì một hệ thống phần mềm.

Để kiểm tra cấu hình của một hệ thống, các bạn có thể kiểm thử bằng thủ công hoặc sử dụng các công cụ / phần mềm để quét hệ thống của mình dựa vào checklist sau:
 • - Only enable server modules that are needed for the application
  - Handle server errors (40x or 50x) with custom-made pages instead of with the default web server pages.
  - Make sure that the server software runs with minimized privileges in the operating system
  - Make sure the server software properly logs both legitimate access and errors.
  - Make sure that the server is configured to properly handle overloads and prevent Denial of Service attacks
  - Never grant non-administrative identities access to applicationHost.config, redirection.config, and administration.config
  - Never share out applicationHost.config, redirection.config, and administration.config on the network.
  - Do not store sensitive information in .NET Framework machine.config and root web.config files
  - Use a strong password when exporting the encryption keys for use with shared -configuration
  - logs don't contain sensitive information, logs information can't be generated a Denial of Service condition
  - Log location, Log storage, log information should never be visible to end usersPost Reply

Return to “Security Testing - Kiểm thử bảo mật”