手工评估思路与工作方法www.isfocus.net第五章手工评估思路与工作方法...............................................................................................15.1利用漏洞资料库完成评估工作......................................................................................15.2利用SNMP服务的评估方法.............................................................................................75.3自主开发业务系统安全性风险分析..............................................................................135.3.1C/S结构平台的问题...........................................................................................135.3.2WEB脚本程序的安全分析方法...........................................................................175.3.3平台的设置不当与功能局限...............................................................................235.3.4底层网络通讯的问题.........................................................................................245.3.5开发过程中的版本控制.....................................................................................255.3.6测试应用程序通讯接口的抗攻击能力.............................................................255.4MicrosoftBaselineSecurityAnalyzer本地化分析.............................................275.5安全管理策略的自动化评估系统.................................................................................305.5.1利用”眼镜蛇”来实现标准的问卷调查.........................................................305.5.2微软安全风险自我评测工具（MSAT）..............................................................375.5.3利用问卷调查分析当前安全管理体系中的问题.............................................415.5.4常见安全管理体系中出现的问题举例.............................................................42第五章手工评估思路与工作方法作者：SQL关于本书的任何建议与指正欢迎给我邮件caopeng@neusoft.com5.1利用漏洞资料库完成评估工作目前比较先进的漏洞扫描软件后台的漏洞资料库大约为2000种，涵盖了大部分常见的漏洞资料。不过即便是最全面的资料库，也可能因为被扫描系统配置的特殊性而无法发现已存在的漏洞。因此这里向大家推荐一种目前比较常用的手工分析方法。下面我就用一个真实的漏洞评估的案例来具体介绍这种手工的分析方法。一次一个客户要求对他们即将正式推出的一个电子商务站点进行一次安全评估，用户希望了解这个WEB站点的安全性水平。在取得对方公司的正式授权后，我们利用了一些安全漏洞扫描软件进行了一次扫描，漏洞扫描软件显示当前站点是个非常“安全”的站点，这也就是意味着没有发现任何明显的弱点风险。但这并不表明这个系统就是完全安全的。于是我采取了手动扫描的方式进行进一步的检查。我首先利用SHADOWSE