一、项目名称：天津长城滨银汽车金融有限公司渗透测试服务外包项目

二、项目概况与招标范围

引入15次核心业务系统渗透测试服务。由我公司根据系统重要程度及实际业务场景确定需要现场还是远程测试。

三、技术要求

1.质量要求：

15次服务高危漏洞平均挖掘数量≥1个；

每次服务期结束3个月内，被我公司/其他单位/个人发现高危漏洞且属于服务期内未发现的，扣除10%合同价款/次

实施要求：招标结束后在签订合同的同时，需要签订保密协议。需要说明投入人员质量及时间要求，需要说明渗透测试具体工作过程及现场/远程，需要输出质量保证标准

2.web相关WebServer（版本信息泄漏；解析问题；短文件/文件夹漏洞；其他已知的WebServer漏洞）WEB应用框架类漏洞（Struts2框架远程命令执行；Spring classLoader类远程代码执行）WEB应用模板类漏洞（各类Editor文件上传漏洞；针对各类开源模板的安全问题）

3.配置方面：SSL/TLS方面（SSL/TLS弱加密缺陷；SSL证书有效性问题，如证书过期或未通过信任机构认证）数据库监听等（数据库默认密码或弱密码连接）应用配置管理等（注释中泄漏敏感信息）基线配置等过时、用于备份的以及未被应用的文件（直接访问敏感文件；测试文件test.jsp、info.php等）基础结构和应用管理界面（未对管理后台进行访问控制等）http方法（http PUT方法上传任意文件；DELETE方法删除任意文件；http HEAD、FOOBAR、JEFF、CATS方法认证绕过）

4.安全功能设计方面：用户认证（帐号或密码保密性不强-弱口令；帐号或密码保密性不强-默认密码；帐号或密码保密性不强-可预测的用户名或初始密码；认证绕过-强迫浏览；缺少防范暴力猜解的安全机制-缺少验证码机制；缺少防范暴力猜解的安全机制-绕过验证码机制-客户端验证；缺少防范暴力猜解的安全机制-绕过验证码机制-可重复使用；缺少防范暴力猜解的安全机制-缺少帐号锁定机制；缺少防范暴力猜解的安全机制-帐号和密码错误提示信息不相同；缺少防范暴力猜解的安全机制-短信密码可以重复使用；密码修改功能缺陷-不需要输入原始密码；密码找回功能缺陷-短信验证后缺少验证码；大量帐号被锁定，如帐号锁定次数较少，并存在批量；恶意注册问题；非唯一性用户名）访问控制（路径遍历；任意文件下载；绕过授权模式；提升访问权限-横向提权，提升访问权限-纵向提权）会话管理（泄漏会话ID；会话标识未更新；可预测的sessionID；URL中包含Session令牌信息；未开启Cookie的http only属性；未开启Cookie的http secure属性；Cookie值中包含用户敏感信息；跨站点请求伪造；本地点请求伪造）数据存储（数据中明文存储用户敏感信息，如密码；应用系统配置文件中存储敏感信息）数据传输（敏感数据明文提交）审核与日志（日志中记录了敏感信息；未开启相关日志审计功能）可用性要求（未对消耗性能较多的功能设定访问频度限制）

5.程序方面：输入验证类（注入漏洞-SQL注入；注入漏洞-OS命令注入；注入漏洞-文件注入；如文件包含；注入漏洞-ORM注入；注入漏洞-XML注入；注入漏洞-XPath注入；注入漏洞-LDAP注入；文件上传漏洞；参数污染等）输出处理（跨站脚本攻击-存储型跨站脚本；跨站脚本攻击-反射型跨站脚本；跨站脚本攻击-基于DOM的跨站脚本；HTML代码注入；基于参数的URL重定向；HTTP消息头注入等）异常管理（缺乏异常处理机制）

6.业务逻辑方面：业务逻辑性（支付问题-价格验证问题；支付问题-产品数量负值验证问题；支付问题-负值交易问题；客户端验证问题；访问控制问题-泄漏客户敏感信息；访问控制问题-越权查到所有手机余额和费用信息；访问控制问题-查看其他用户订单；欺骗密码修改功能；修改提交表单；滥用搜索功能）

7.接口安全方面测试点：接口调用来源、身份、频率等；测试DDOS攻击和暴力攻击等等。

四、供应商资质要求

1.熟悉汽车金融、银行等金融相关行业的监管要求；

2.注册资本500万及以人上民币；

3.应具有独立法人资格，需提供营业执照扫描件；

4.应具有良好的商业信誉和健全的财务制度，需提供税务登记证扫描件或三证合一；

5.企业是一般纳税人，能够独立开具正式增值税专用发票。

五、业绩要求（报名业绩作为报名审核，投标书中应包含且不限于报名业绩）

提供近3年来至少2个金融行业项目相关业绩案例，提供合同证明文件。

六、报名要求

1.报名方式

①凡有意参加报名的供应商，请至长城控股电子招标平台注册报名：地址为：http://**_epbhttp://**，《供应商注册指南》可在平台网站首页“用户登录选择”栏附近查看，并根据手册要求进行注册，注册成功后可根据项目名称，按报名要求进行报名，未按照此方式报名的，视作无效报名；

②如无法在招标平台完成注册的，请及时联系报名联系人。

2.报名截止时间：**日 23:00

七、联系方式

1.项目所在地：天津

2.报名联系人及联系方式：赵博:*/0312-*

3.如对本项目有技术疑问或想了解更多详细信息，可将问题分条描述清晰，发送至（*@*wm.cn）。 (略) 名称、联系人及联系电话；

4.邮件主题须注明项目名称、报名联系人，如XX项目疑问XX收，将统一进行答疑回复。

八、招标文件的获取

1.本项目投标意向金为：100元（大写:人民币*佰元整）。

投标意向金缴纳后不予退还；若项目在招标过程中任意环节因招标方原因取消的，可办理投标意向金退款（若供应商已办理开票将不予退款）；

2.报名时需同步上传交款凭证，若为免费标书则上传空白页即可。

3. ①缴费时请在交款凭证上备注“项目简称” ，如为个人代缴，请在交款凭证上备注“项目简称+参标公司简称” (注：项目简称填写标的物名称即可)

②开票要求：在长城控股电子招标平台首页（不用登录）（http://**_epbhttp://**）左下方查找开票信息模板，*@*wm.cn，开具后“51发票”直接将发票链接回复至邮箱中，若有疑问，请电话联系王薇，电话0312-*

注：a. 个人缴纳投标意向金如 (略) 的发票，需出具加盖该企业公章的委托个人代付的说明文件，否则无法开具发票;b.发票开具完成后，意向金不再退还。c.贵司提供发票信息后，大约25个工作日左右开具电子发票并发至邮箱，请耐心等待,若超过25个工作日未收到发票，请及时联系王薇，电话0312-*，逾期未查收导致发票无法报销的，不再重开。

九、交款账户信息（请避开月底最后两天打款）

开户银行： (略) 保定分行(行号：*)

开户户名： (略)

开户账号： 8111 8010 1230 0947 716

注意： (略) 交款为准，即公对公账户；注册成功后汇款至以上账户；
②交款行为仅在此账户有效力，我司不存在其他任何代收账户；
③请不 (略) 的交款要求，以防上当受骗！

十、争议解决

投标方和招标人在采购过程中所引起的争议，双方应通过友好协商解决，协商不成时，任何一方均应向采购方所 (略) 提起诉讼。

注：无论报名结果如何，供应商自行承担所有与参加报名活动有关的全部费用。

集团举报渠道：

邮箱：*@*63.com（集团纪检组） *@*63.com（董事长办）
QQ：*（集团纪检组） 微信：gwlianjie（集团纪检组）
手机/短信：*（秘密特工组）
电话：0312-*（集团纪检组） 0312-*（董事长办）
通信地址： (略) 朝阳南大街2266号董事长办公室/监察审计部
邮编：*

一、项目名称：天津长城滨银汽车金融有限公司渗透测试服务外包项目

二、项目概况与招标范围

引入15次核心业务系统渗透测试服务。由我公司根据系统重要程度及实际业务场景确定需要现场还是远程测试。

三、技术要求

1.质量要求：

15次服务高危漏洞平均挖掘数量≥1个；

每次服务期结束3个月内，被我公司/其他单位/个人发现高危漏洞且属于服务期内未发现的，扣除10%合同价款/次

实施要求：招标结束后在签订合同的同时，需要签订保密协议。需要说明投入人员质量及时间要求，需要说明渗透测试具体工作过程及现场/远程，需要输出质量保证标准

2.web相关WebServer（版本信息泄漏；解析问题；短文件/文件夹漏洞；其他已知的WebServer漏洞）WEB应用框架类漏洞（Struts2框架远程命令执行；Spring Loader类远程代码执行）WEB应用模板类漏洞（各类Editor文件上传漏洞；针对各类开源模板的安全问题）

3.配置方面：SSL/TLS方面（SSL/TLS弱加密缺陷；SSL证书有效性问题，如证书过期或未通过信任机构认证）数据库监听等（数据库默认密码或弱密码连接）应用配置管理等（注释中泄漏敏感信息）基线配置等过时、用于备份的以及未被应用的文件（直接访问敏感文件；测试文件test.jsp、info.php等）基础结构和应用管理界面（未对管理后台进行访问控制等）http方法（http PUT方法上传任意文件；DELETE方法删除任意文件；http HEAD、FOOBAR、JEFF、CATS方法认证绕过）

4.安全功能设计方面：用户认证（帐号或密码保密性不强-弱口令；帐号或密码保密性不强-默认密码；帐号或密码保密性不强-可预测的用户名或初始密码；认证绕过-强迫浏览；缺少防范暴力猜解的安全机制-缺少验证码机制；缺少防范暴力猜解的安全机制-绕过验证码机制-客户端验证；缺少防范暴力猜解的安全机制-绕过验证码机制-可重复使用；缺少防范暴力猜解的安全机制-缺少帐号锁定机制；缺少防范暴力猜解的安全机制-帐号和密码错误提示信息不相同；缺少防范暴力猜解的安全机制-短信密码可以重复使用；密码修改功能缺陷-不需要输入原始密码；密码找回功能缺陷-短信验证后缺少验证码；大量帐号被锁定，如帐号锁定次数较少，并存在批量；恶意注册问题；非唯一性用户名）访问控制（路径遍历；任意文件下载；绕过授权模式；提升访问权限-横向提权，提升访问权限-纵向提权）会话管理（泄漏会话ID；会话标识未更新；可预测的sessionID；URL中包含Session令牌信息；未开启Cookie的http only属性；未开启Cookie的http secure属性；Cookie值中包含用户敏感信息；跨站点请求伪造；本地点请求伪造）数据存储（数据中明文存储用户敏感信息，如密码；应用系统配置文件中存储敏感信息）数据传输（敏感数据明文提交）审核与日志（日志中记录了敏感信息；未开启相关日志审计功能）可用性要求（未对消耗性能较多的功能设定访问频度限制）

5.程序方面：输入验证类（注入漏洞-SQL注入；注入漏洞-OS命令注入；注入漏洞-文件注入；如文件包含；注入漏洞-ORM注入；注入漏洞-XML注入；注入漏洞-XPath注入；注入漏洞-LDAP注入；文件上传漏洞；参数污染等）输出处理（跨站脚本攻击-存储型跨站脚本；跨站脚本攻击-反射型跨站脚本；跨站脚本攻击-基于DOM的跨站脚本；HTML代码注入；基于参数的URL重定向；HTTP消息头注入等）异常管理（缺乏异常处理机制）

6.业务逻辑方面：业务逻辑性（支付问题-价格验证问题；支付问题-产品数量负值验证问题；支付问题-负值交易问题；客户端验证问题；访问控制问题-泄漏客户敏感信息；访问控制问题-越权查到所有手机余额和费用信息；访问控制问题-查看其他用户订单；欺骗密码修改功能；修改提交表单；滥用搜索功能）

7.接口安全方面测试点：接口调用来源、身份、频率等；测试DDOS攻击和暴力攻击等等。

四、供应商资质要求

1.熟悉汽车金融、银行等金融相关行业的监管要求；

2.注册资本500万及以人上民币；

3.应具有独立法人资格，需提供营业执照扫描件；

4.应具有良好的商业信誉和健全的财务制度，需提供税务登记证扫描件或三证合一；

5.企业是一般纳税人，能够独立开具正式增值税专用发票。

五、业绩要求（报名业绩作为报名审核，投标书中应包含且不限于报名业绩）

提供近3年来至少2个金融行业项目相关业绩案例，提供合同证明文件。

六、报名要求

1.报名方式

①凡有意参加报名的供应商，请至长城控股电子招标平台注册报名：地址为：http://**_epbhttp://**，《供应商注册指南》可在平台网站首页“用户登录选择”栏附近查看，并根据手册要求进行注册，注册成功后可根据项目名称，按报名要求进行报名，未按照此方式报名的，视作无效报名；

②如无法在招标平台完成注册的，请及时联系报名联系人。

2.报名截止时间：**日 23:00

七、联系方式

1.项目所在地：天津

2.报名联系人及联系方式：赵博:*/0312-*

3.如对本项目有技术疑问或想了解更多详细信息，可将问题分条描述清晰，发送至（*@*wm.cn）。 (略) 名称、联系人及联系电话；

4.邮件主题须注明项目名称、报名联系人，如XX项目疑问XX收，将统一进行答疑回复。

八、招标文件的获取

1.本项目投标意向金为：100元（大写:人民币*佰元整）。

投标意向金缴纳后不予退还；若项目在招标过程中任意环节因招标方原因取消的，可办理投标意向金退款（若供应商已办理开票将不予退款）；

2.报名时需同步上传交款凭证，若为免费标书则上传空白页即可。

3. ①缴费时请在交款凭证上备注“项目简称” ，如为个人代缴，请在交款凭证上备注“项目简称+参标公司简称” (注：项目简称填写标的物名称即可)

②开票要求：在长城控股电子招标平台首页（不用登录）（http://**_epbhttp://**）左下方查找开票信息模板，*@*wm.cn，开具后“51发票”直接将发票链接回复至邮箱中，若有疑问，请电话联系王薇，电话0312-*

注：a. 个人缴纳投标意向金如 (略) 的发票，需出具加盖该企业公章的委托个人代付的说明文件，否则无法开具发票;b.发票开具完成后，意向金不再退还。c.贵司提供发票信息后，大约25个工作日左右开具电子发票并发至邮箱，请耐心等待,若超过25个工作日未收到发票，请及时联系王薇，电话0312-*，逾期未查收导致发票无法报销的，不再重开。

九、交款账户信息（请避开月底最后两天打款）

开户银行： (略) 保定分行(行号：*)

开户户名： (略)

开户账号： 8111 8010 1230 0947 716

注意： (略) 交款为准，即公对公账户；注册成功后汇款至以上账户；
②交款行为仅在此账户有效力，我司不存在其他任何代收账户；
③请不 (略) 的交款要求，以防上当受骗！

十、争议解决

投标方和招标人在采购过程中所引起的争议，双方应通过友好协商解决，协商不成时，任何一方均应向采购方所 (略) 提起诉讼。

注：无论报名结果如何，供应商自行承担所有与参加报名活动有关的全部费用。

集团举报渠道：

邮箱：*@*63.com（集团纪检组） *@*63.com（董事长办）
QQ：*（集团纪检组） 微信：gwlianjie（集团纪检组）
手机/短信：*（秘密特工组）
电话：0312-*（集团纪检组） 0312-*（董事长办）
通信地址： (略) 朝阳南大街2266号董事长办公室/监察审计部
邮编：*