未过滤输入检测

检测项目

1.输入验证完整性：检测长度限制（1-4096字符）、字符白名单（ASCII32-126）、特殊符号过滤（<>&;）等参数

2.SQL注入防护：测试单引号转义、UNION查询阻断、布尔盲注响应时间（≤200ms）等防御机制

3.XSS跨站脚本防护：验证HTML标签过滤（script|iframe|style）、实体编码转换（<→&lt）、HTTP头Content-Type校验

4.文件上传控制：检测扩展名白名单（jpg,png,pdf）、MIME类型校验、文件头魔数验证（FFD8FFE0）

5.命令执行防护：评估系统调用过滤（exec|system）、参数消毒处理、沙箱隔离度（Docker容器级）

检测范围

1.Web应用程序：包括HTTPGET/POST参数、Cookie值、URL路径等输入点

2.API接口：RESTful/SOAP接口的JSON/XML数据体及请求头字段

3.数据库系统：SQL查询语句中的动态拼接参数与存储过程调用

4.文件处理系统：上传/下载模块的文件名与内容解析功能

5.移动应用程序：本地存储数据反序列化与第三方SDK输入通道

检测方法

1.OWASPTestingGuidev4.2：实施手工渗透测试与自动化扫描结合方案

2.ISO/IEC15408：依据EAL4+级别进行安全目标验证

3.GB/T18336-2015：执行第三级结构化保护级（S3A3）测试

4.CWE/SANSTOP25：针对危险资源管理（CWE-119）等关键弱点验证

5.PCIDSSv4.0：满足6.5.1-6.5.7条款的注入攻击防护要求

检测设备

1.FortifySCA22.2：静态代码分析工具，支持Java/Python/C#的污点追踪

2.BurpSuiteProfessional2023.6：Web应用渗透测试平台，含Intruder模块爆破测试

3.Acunetix15.8：自动化漏洞扫描仪，内置6500+种攻击向量库

4.SQLMap1.7：开源注入测试工具，支持布尔/时间/报错型注入检测

5.AppScanStandard10.2：动态应用安全测试(DAST)系统，覆盖OWASPTop10漏洞

6.MetasploitPro6.3：渗透测试框架，提供模块化攻击载荷验证

7.NessusProfessional10.5：网络漏洞扫描器，含CVE-2023-34362等最新漏洞库

8.Wireshark4.0.8：协议分析工具，用于HTTP/HTTPS流量抓取与解析

9.Postman10.14：API测试平台，支持自定义脚本注入攻击模拟

10.ZedAttackProxy2.13：开源Web代理工具，具备主动/被动扫描功能

北检(北京)检测技术研究院【简称：北检院】

报告：可出具第三方检测报告(电子版/纸质版)。

检测周期：7~15工作日，可加急。

资质：旗下实验室可出具CMA/CNAS资质报告。

标准测试：严格按国标/行标/企标/国际标准检测。

非标测试：支持定制化试验方案。

售后：报告终身可查，工程师1v1服务。

以上是与"未过滤输入检测"相关的简单介绍，具体试验/检测周期、检测方法和仪器选择会根据具体的检测要求和标准而有所不同。北检研究院将根据客户需求合理的制定试验方案。