Web应用安全开发规范 V1.5

合集下载

Web安全测试规范

DKBADKBA 2355-2009.7红黑联盟收集整理Web应用安全测试规范V1.22009年7月5日发布2009年7月5日实施版权所有侵权必究All rights reserved修订声明Revision declaration本规范拟制与解释部门：安全解决方案部电信网络与业务安全实验室、软件公司安全TMG、软件公司测试业务管理部本规范的相关系列规范或文件：《Web应用安全开发规范》相关国际规范或文件一致性：《0 WASP Testi ng Guide v3 》《信息安全技术信息安全风险评估指南》《In formatio n tech no logy Security tech niq ues Man ageme nt of in formatio n and com muni catio ns tech no logy security 》一ISO 13335替代或作废的其它规范或文件：无相关规范或文件的相互关系：目录Table of Contents1 概述 (7)1.1 背景简介 (7)1.2 适用读者 (7)1.3 适用范围 (7)1.4 安全测试在IPD流程中所处的位置 (8)1.5 安全测试与安全风险评估的关系说明 (8)1.6 注意事项 (9)1.7 测试用例级别说明 (9)2 测试过程示意图 (10)3 WEB安全测试规范 (11)3.1 自动化W EB漏洞扫描工具测试 (11)3.1.1 AppScan application 扫描测试 (12)3.1.2 AppScan Web Service 扫描测试 (13)3.2 服务器信息收集 (13)3.2.1 运行帐号权限测试 (13)3.2.2 Web服务器端口扫描 (14)3.2.3 HTTP方法测试 (14)3.2.4 HTTP PUT 方法测试 (15)3.2.5 HTTP DELETE 方法测试 (16)3.2.6 HTTP TRACE 方法测试 (17)3.2.7 HTTP MOVE 方法测试 (17)3.2.8 HTTP COPY 方法测试 (18)3.2.9 Web服务器版本信息收集 (18)3.3 文件、目录测试 (20)3.3.1 工具方式的敏感接口遍历 (20)3.3.2 Robots方式的敏感接口查找 (21)333 Web服务器的控制台 (22)334 目录列表测试 (23)3.3.5 文件归档测试 (26)3.4 认证测试 (26)3.4.1 验证码测试 (27)3.4.2 认证错误提示 (28)3.4.3 锁定策略测试 (28)3.4.4 认证绕过测试 (29)3.4.5 找回密码测试 (30)3.4.6 修改密码测试 (30)3.4.7 不安全的数据传输 (31)3.4.8 强口令策略测试 (32)3.5 会话管理测试 (34)3.5.1 身份信息维护方式测试 (34)3.5.2 Cookie存储方式测试 (34)3.5.3 用户注销登陆的方式测试 (35)3.5.4 注销时会话信息是否清除测试 (35)3.5.5 会话超时时间测试 (36)3.5.6 会话定置测试 (37)3.6 权限管理测试 (37)3.6.1 横向测试 (38)3.6.2 纵向测试 (40)3.7 文件上传下载测试 (45)3.7.1 文件上传测试 (45)3.7.2 文件下载测试 (46)3.8 信息泄漏测试 (47)3.8.1 连接数据库的帐号密码加密测试 (47)3.8.2 客户端源代码敏感信息测试 (48)3.8.3客户端源代码注释测试 (48)384 异常处理 (49)3.8.5 HappyAxis.jsp 页面测试 (50)3.8.6 Web服务器状态信息测试 (51)3.8.7 不安全的存储 (51)3.9 输入数据测试 (52)3.9.1 SQL注入测试 (52)3.9.2 MML语法注入 (54)3.9.3 命令执行测试 (54)3.10 跨站脚本攻击测试 (55)3.10.1 GET方式跨站脚本测试 (55)3.10.2 POST方式跨站脚本测试 (56)3.11 逻辑测试 (57)3.12 搜索引擎信息收集 (57)3.13 W EB S ERVICE 测试 (58)3.14 其他 (61)3.14.1 class文件反编译测试 (61)4 APPSCAN测试覆盖项说明 (62)5 附件 (63)5.1 本规范所涉及的测试工具 (63)Web安全测试规范缩略语清单缩略语全称CRLF\r\n回车换行LDAP Lightweight Directory Access Protocol 轻量级目录访问协议MML man-mach ine Ian guage 人机交互语言Sessio nID标志会话的IDWeb Service Web服务是一种面向服务的架构的技术，通过标准的Web协议提供服务，目的是保证不同平台的应用服务可以互操作。

Web安全开发编程规范

数据库规范
1.必须使用参数化的SQL语句具体要求如下：要求开发者在构造SQL请求时，明确区分被翻译为数据的部分和被翻译为命令的部分。要求正确的使用参数化的SQL语句，不允许数据指向改变的方法。在要求拥护输入影响SQL语句结构的情况下，增加一个动态约束（例如在Where句子里），不能把拥护的输入连接为请求语句。
通过设臵默认值来保存一个丢失的输入处理密码域时自动剪裁掉超过最大长度的输入替换掉在输入框输入的javascript字符等行为是很危险的输入验证本身就很复杂如果和自动错误恢复的代码混合在一起的话将会造成更大的复杂性自动错误恢复代码很可能改变请求的含义或者截断验证逻辑
Web安全开发编程规范
XXX 2016.1
4
输入输出安全规范
5.检测整数输入的边界值必须检测整数输入的边界值，否则程序对一个未知大小的值进行运算，得出的结果可能不符合为其分配的地址。这种情况下，结果会被误识别，产生明显的错误，从而导致整数溢出风险。在C/C++中整数溢出常常是缓冲区溢出攻击的一部分，虽然JAVA不会产生缓冲区溢出，但是在JAVA里的整数溢出仍会造成一定的问题。 6.不能接受验证失败的数据不允许试图修复一个未能通过输入验证的请求，必须直接拒绝掉。通过设臵默认值来保存一个丢失的输入，处理密码域时自动剪裁掉超过最大长度的输入，替换掉在输入框输入的JavaScript字符等行为是很危险的，输入验证本身就很复杂，如果和自动错误恢复的代码混合在一起的话，将会造成更大的复杂性，自动错误恢复代码很可能改变请求的含义或者截断验证逻辑。 7.验证HTTP请求中所有内容要求对每一个HTTP 请求都进行完整的检查。因为攻击者可以在提供给他们的Web页面里输入任何内容，他们可以完全脱离浏览器和浏览器的一切验证，修改Cookie、隐藏区域、name 与value 对应关系，他们可以为了“错误”的目的在“错误”的时间按“错误”的顺序提交URL请求。

应用软件开发安全

不要在代码中包含敏感信息：不要在代码中对敏感信息进行硬编码，例如 IP 地址、口令等。即使源代码不会泄漏，但从编译过的可执行文件中仍然可以提取字符串常量。配置漏洞可能会允许攻击者检索可执行文件，从而获取敏感信息。
不要以明文形式存储数据库连接字符串或密码等敏感信息，应该进行加密，并存储经过加密的字符串。
如果通过网络传输敏感数据，禁止明文传输，应对数据进行加密。同时确保通信通道的安全，通常的做法是使用SSL/TLS、HTTPS、SFTP 和 IPSec 等安全协议进行通信。
16
异常处理
不要向客户端泄漏应用程序内部信息：发生故障时，不要在出错消息中暴露应用系统内部的敏感信息。例如，不要暴露包括函数名以及调试信息（出问题的行数，堆栈信息等）。应向客户端返回一般性错误消息。
不在网络上以明文方式传输密码：以明文方式在网络上传输的密码容易被窃听，为了解决这一问题，应确保通信通道的安全，例如，使用 SSL 对数据流加密。
保护身份认证的凭据：身份认证的凭据（如 Cookie）被窃取意味着登录被窃取。可以通过加密和安全的通信通道来保护认证的凭据。此外，还应限制认证凭据的有效期，以减少攻击的威胁。
7
访问控制和授权
应用系统的认证、授权尽量使用统一的认证、授权平台来进行。如果因为某种原因需要建立应用系统自己的认证、授权体系，整个认证过程需要进行加密，密钥长度不能低于 128 位。
8
访问控制和授权
应用系统的设计应包含用户权限分配和管理功能：
系统读、写、执行权限设计
系统查看、配置、修改、删除、登录、运行等权限设计
6
应用系统上线投产的安全要求
规划应用系统上线所需要的资源需求和准备工作，包括但不限于以下内容：
应用系统上线对软件、硬件资源和网络的要求。

网站WEB应用安全措施要求规范

网站WEB应用安全措施要求规范随着互联网的快速发展，Web应用安全越来越重要。

攻击者利用Web应用的漏洞来获取用户的敏感信息或者破坏系统的安全已经成为一种普遍现象。

为了保护网站的安全，必须采取一定的安全措施。

下面是一些常见的网站Web应用安全措施要求规范：1.输入验证：对于用户输入的数据，要进行有效的验证和过滤，防止恶意用户输入恶意代码或者执行攻击。

常见的验证包括长度验证、格式验证、数据类型验证等。

2. 跨站脚本攻击（XSS）防御：XSS是指攻击者通过在Web应用中注入恶意脚本来获取用户信息的一种攻击方式。

要防御XSS攻击，可以对用户输入进行过滤和编码，以及合理设置浏览器的安全相关头部。

3. SQL注入防御：SQL注入是指攻击者通过在Web应用中注入恶意SQL代码来获取敏感信息或者破坏数据库的一种攻击方式。

要防御SQL注入，可以使用参数化查询和绑定变量等方式来构建SQL查询。

4. 跨站请求伪造（CSRF）防御：CSRF是指攻击者通过在Web应用中伪造合法用户的请求来进行非法操作的一种攻击方式。

要防御CSRF攻击，可以使用Token验证、Referer验证等方式来确保请求的合法性。

6.认证和授权：对于涉及用户身份认证和权限控制的功能，必须采用安全的认证和授权机制，以防止非法用户获取权限。

7. 安全配置和漏洞修复：对于Web应用的服务器、数据库、操作系统等，要进行安全配置，关闭不必要的服务和端口，及时更新补丁和漏洞修复。

8. 安全日志和监控：要记录Web应用的安全事件和异常行为，及时监控和响应安全事件，以及进行安全事件的分析和溯源，以便及时发现和应对安全威胁。

9. 安全培训和意识：为所有开发人员、测试人员和维护人员提供相关的安全培训，提高他们对Web应用安全的意识和知识水平。

安全是一个团队的责任，每个人都要有安全意识。

10. 定期安全审计和测试：定期对Web应用进行安全审计和测试，发现和修复潜在的安全漏洞，提高Web应用的安全性。

网络应用程序安全开发规范

网络应用程序安全开发规范一、引言随着互联网技术的飞速发展，网络应用程序的安全性愈发重要。

为了保护用户隐私和数据安全，开发人员需要遵循一系列严格的规范和标准来确保应用程序的安全性。

本文将介绍一些网络应用程序安全开发规范，以帮助开发人员提升应用程序的安全性。

二、认识网络应用程序安全在开发网络应用程序之前，首先需要认识网络应用程序的安全特点和风险。

网络应用程序的安全问题主要包括网络攻击、数据泄露、身份验证漏洞等。

开发人员应该在开发过程中时刻关注这些问题，并采取适当的预防措施。

三、安全开发流程1. 需求分析阶段在需求分析阶段，开发人员需要与业务方充分沟通，了解业务需求和安全要求。

确定网络应用程序的功能和架构，为后续的开发工作奠定基础。

2. 安全设计阶段在安全设计阶段，开发人员需要根据需求分析的结果，制定相应的安全设计方案。

包括用户身份验证、数据传输加密、访问控制等安全机制的设计。

3. 编码实现阶段在编码实现阶段，开发人员需要按照安全设计方案进行编码实现。

遵循编码规范，使用安全的编程语言、框架和库，以防止常见的安全漏洞，比如跨站脚本攻击（XSS）和SQL注入攻击。

4. 安全测试阶段在安全测试阶段，开发人员需要对应用程序进行全面的安全测试。

包括功能性测试、安全性测试、性能测试等。

测试结果和反馈将帮助开发人员修复潜在的漏洞和问题。

5. 上线和监测阶段在应用程序上线后，开发人员需要进行实时监测和日志分析，及时发现和响应安全事件。

并定期进行安全评估和渗透测试，以保证应用程序的持续安全性。

四、常见安全漏洞和防范措施1. 跨站脚本攻击（XSS）防范措施：- 对用户输入进行严格验证和过滤，避免恶意脚本的注入。

- 使用安全的浏览器API，如CSP（内容安全策略）。

- 对敏感数据进行适当的编码和解码，避免XSS攻击。

2. SQL注入攻击防范措施：- 使用参数化查询或预编译语句，避免拼接SQL语句。

- 对用户输入进行严格验证和过滤，避免恶意SQL语句的注入。

网络应用开发安全规范要求指南

网络应用开发安全规范要求指南在当今数字化时代，网络应用已经成为人们生活和工作中不可或缺的一部分。

然而，随着网络应用的普及，安全问题也日益凸显。

为了保障用户的信息安全和网络应用的稳定运行，制定一套严格的网络应用开发安全规范要求指南至关重要。

一、前期规划与设计1、需求分析中的安全考虑在网络应用开发的初始阶段，进行全面的需求分析是必不可少的。

这不仅要涵盖功能需求，还应充分考虑安全需求。

例如，明确用户数据的敏感程度，确定应用所需的访问控制级别，以及预估可能面临的安全威胁等。

2、安全架构设计设计一个安全的架构是网络应用安全的基石。

采用分层架构，将前端展示、业务逻辑和数据存储分离，减少单点故障和潜在的安全风险。

同时，合理规划网络拓扑结构，设置防火墙、入侵检测系统等安全设备。

二、开发过程中的安全实践1、编程语言与框架的选择选择安全可靠的编程语言和框架能大大降低安全漏洞的出现概率。

例如，一些现代编程语言具有内置的安全特性，如内存安全检查和类型安全。

同时，使用经过广泛验证和维护的开发框架，能够减少因自行开发底层功能而引入的安全隐患。

2、输入验证与过滤用户输入是网络应用安全的一个重要风险点。

对所有用户输入的数据，包括表单提交、URL 参数、JSON 数据等，都要进行严格的验证和过滤。

防止恶意输入，如 SQL 注入、跨站脚本攻击（XSS）等。

3、密码存储与加密对于用户密码，绝不能以明文形式存储。

采用哈希加盐的方式对密码进行处理，并使用强加密算法。

同时，定期更新加密密钥，确保数据的保密性。

4、权限管理与访问控制实施精细的权限管理，确保用户只能访问其被授权的功能和数据。

采用基于角色的访问控制（RBAC）或基于属性的访问控制（ABAC）模型，根据用户的身份和属性来分配权限。

5、避免常见的安全漏洞开发人员要熟悉常见的安全漏洞，如缓冲区溢出、整数溢出、路径遍历等，并在开发过程中采取措施避免这些问题。

定期进行代码审查和安全测试，及时发现和修复潜在的漏洞。

华为Web应用安全开发规范

DKBA华为技术有限公司内部技术规范DKBA 1606-XXXX.XWeb应用安全开发规范V1.52013年XX月XX日发布2013年XX月XX日实施华为技术有限公司Huawei Technologies Co., Ltd.版权所有侵权必究All rights reserved修订声明Revision declaration本规范拟制与解释部门：网络安全能力中心&电信软件与核心网网络安全工程部本规范的相关系列规范或文件：《C&C++语言安全编程规范》《Java语言安全编程规范》相关国际规范或文件一致性：无替代或作废的其它规范或文件：无相关规范或文件的相互关系：《产品网络安全红线》和《电信软件与核心网业务部安全能力基线》中的Web安全要求引用了本规范的内容，如果存在冲突，以本规范为准。

规范号主要起草部门专家主要评审部门专家修订情况DKBA 1606-2007.4 安全解决方案：赵武42873，杨光磊57125，万振华55108软件公司设计管理部：刘茂征11000，刘高峰63564，何伟祥33428 安全解决方案：刘海军12014，吴宇翔18167，吴海翔57182接入网：彭东红27279无线：胡涛46634核心网：吴桂彬41508，甘嘉栋33229，马进32897，谢秀洪33194，张毅27651，张永锋40582业软：包宜强56737，丁小龙63583，董鹏越60793，傅鉴杏36918，傅用成30333，龚连阳18753，胡海，胡海华52463，李诚37517，李大锋54630，李战杰21615，刘创文65632，刘飞46266，刘剑51690，栾阳62227，罗仁钧65560，罗湘武06277，马亮，孟咏喜22499，潘海涛27360，孙林46580，王福40317，王锦亮36430，王美玲，王谟磊65558，王玉龙24387，杨娟，张锋43381，张健，张轶57143，邹韬51591 V1.0何伟祥33428 刘高峰63564，龚连阳00129383，许汝波62966，吴宇翔00120395，王欢00104062，吕晓雨56987 V1.2增加了Web Service、Ajax和上传和下载相关的安全规范。

Web开发中的安全问题和防护措施

Web开发中的安全问题和防护措施在当今的互联网环境下，Web开发中的安全问题和防护措施变得尤为重要。

随着互联网的快速发展，网络攻击也越来越频繁和复杂，对于Web开发者来说，学习并采取适当的安全措施是至关重要的。

本文旨在探讨Web开发中的安全问题以及如何采取防护措施来保护Web应用程序和用户数据。

一、Web开发中的安全问题1. SQL注入攻击SQL注入攻击是通过在Web应用程序中输入恶意的SQL查询来攻击数据库的一种方式。

攻击者可以利用SQL注入漏洞来获取敏感信息，如用户信息、身份验证凭据等。

这种攻击是极为常见的，因此Web开发者必须采取措施来防范此类攻击。

2.跨站点脚本攻击（XSS）跨站点脚本攻击是指攻击者通过在Web应用程序中插入恶意脚本，从而在用户端执行恶意代码。

这种攻击可能导致数据泄露、会话劫持以及其他严重后果，因此Web开发者需要注意对用户输入进行严格的过滤和验证。

3.跨站点请求伪造（CSRF）CSRF攻击是指攻击者利用用户已经登录的身份，在用户不知情的情况下执行非授权操作。

要防范这种攻击，Web开发者需要采取措施来验证每个请求的来源和合法性。

4.不安全的验证和会话管理不安全的验证和会话管理可能导致用户身份验证凭据被盗取，或者会话被劫持。

Web开发者需要采取措施来确保在所有的身份验证和会话管理过程中都采取了足够的安全措施。

5.未经授权的访问未经授权的访问可能导致敏感信息的泄露或者非法操作的执行。

Web开发者需要采取措施来确保只有经过授权的用户才能访问和执行特定的操作。

6.敏感信息泄霁敏感信息泄露可能导致用户数据被窃取、滥用甚至出售，从而给用户和组织带来严重的损失。

Web开发者需要采取措施来保护用户的敏感信息，如加密存储、传输和处理敏感信息等。

二、Web开发中的安全防护措施1.输入验证输入验证是防范多种安全漏洞的首要措施。

Web开发者应该对用户输入进行严格的验证和过滤，确保用户输入不含有恶意代码或者注入攻击。

Web安全测试规范

W e b安全测试规范内部编号：（YUUT-TBBY-MMUT-URRUY-UOOY-DBUYI-0128）D K B A华为技术有限公司内部技术规范DKBAWeb应用安全测试规范2009年7月5日发布 2009年7月5日实施华为技术有限公司Huawei Technologies Co., Ltd.版权所有侵权必究All rights reserved修订声明Revision declaration本规范拟制与解释部门：安全解决方案部电信网络与业务安全实验室、软件公司安全TMG、软件公司测试业务管理部本规范的相关系列规范或文件：《Web应用安全开发规范》相关国际规范或文件一致性：《OWASP Testing Guide v3》《信息安全技术信息安全风险评估指南》《Information technology Security techniques Management of information and communications technology security》－ISO 13335替代或作废的其它规范或文件：无相关规范或文件的相互关系：本规范以《Web应用安全开发规范》为基础、结合Web应用的特点而制定。

目录 Table of ContentsWeb安全测试规范缩略语清单1概述1.1背景简介在Internet大众化、Web技术飞速演变、黑客工具日益普及的今天，针对Web的攻击和破坏不断增多，在线安全面临日益严峻的挑战，安全风险达到了前所未有的高度。

为了规避Web安全风险、规范Web安全开发，公司已经制定并发布了《Web 应用安全开发规范》；但如何系统的进行Web安全性测试，目前缺少相应的理论和方法支撑。

为此，我们制定《Web 安全测试规范》，本规范可让测试人员针对Web 常见安全漏洞或攻击方式，系统的对被测Web 系统进行快速安全性测试。

1.2 适用读者本规范的读者及使用对象主要为Web 相关的测试人员、开发人员、专职的安全测试评估人员等。

(完整word版)Web应用开发规范

密级：公开Web应用开发规范制定日期：2010年1月中航国际金网公司版本历史日期版本简要描述信息作者2010-1-18 0.9.1 创建该规范文档高正2010-2-3 0.9.2 修改了目录结构规范部分高正2010-2-4 0.9.3 增加了js和css样式规范高正目录1.文件编码格式............................................................................................................................. - 4 -2.目录结构规范............................................................................................................................. - 4 -3.编程规范..................................................................................................................................... - 5 -资源、配置文件.......................................................................................................... - 5 -Doc文档...................................................................................................................... - 6 -实体.............................................................................................................................. - 7 -Dao ............................................................................................................................... - 8 -Service .......................................................................................................................... - 8 -Action ........................................................................................................................... - 9 -JSP .............................................................................................................................. - 10 -css ............................................................................................................................... - 11 -js ................................................................................................................................. - 11 -4.异常处理规范........................................................................................................................... - 11 -5.数据校验................................................................................................................................... - 12 -前言本规范是在《代码书写基础规范.doc》基础上，对web应用所制定的开发规范。

WEB应用安全技术规范书

2 3 4 5 6 7 8
身份与访问保存登录功能控制纵向访问控制横向访问控制敏感资源的访问会话超时
9 会话管理 10
会话终止
会话标识
11 12
会话标识复用加密存储敏感信息
内容管理 13
避免泄露敏感技术细节
14 防钓鱼与防垃圾邮件 15
防钓鱼
防垃圾邮件
16 密码算法 17
安全算法
密钥管理
Hale Waihona Puke 20 21 2223 24
25
保证多线程安全
26
保证释放资源
目前尚未支持的，研发正在处理，安全加固上线后可支持
操作步骤
符合性判断依据
评估结果(通过/ 不通过)
备注
尝试使用错误用户名口令失败登用户登录失败一定次数后系统录多次自动锁定账号要求包含图片验证码输入项，检查登录认证界面输入项，并右并且图片链接属性不得包含明键点击图片查看链接属性。文图片验证码。尝试登录系统，并使用抓包工具要求不得出现明文口令查看交互过程中在网络传输的内检查登录界面是否提供了保存登不得提供该功能录功能了解是否有不允许普通用户访问的功能，尝试直接在浏览器中访用户不得跨权限访问受控页面问功能链接了解是否存在敏感信息，检查是用户不得跨权限查看其它用户否对个人敏感信息进行了有效保受保护敏感信息检查服务器的文件是否存在敏感资源，测试是否限制了这些资源对敏感资源的访问应当受控的访问登录系统后不操作，等待合理的要求预先设计的时间间隔后查时间间隔看页面自动中止超时会话登录系统后点击系统提供的“退出”功能，然后在同一IE窗口下点击退出后，上述检测操作结视图回退到登录后的页面，并访果不成功问相应的功能多个会话标识不得存在简单明检查多个会话标识的格式了的逻辑关系，要求具有随机性用户登录后必须分配新的会话检查登录前后是否使用相同的会标识，不能继续使用用户未登话标识录前所使用的标识。分析系统中敏感信息的存储与加要求加密算法安全，对信息有密适当访问控制各个页面不得包含技术性注分析各个页面的源码，查看提示释，各个提示页面不得包含页面，尤其是出错提示页面 Web服务器版本、源代码等信息

网络应用开发安全规范要求

网络应用开发安全规范要求随着互联网的迅速发展，网络应用开发已经成为一个不可或缺的领域。

然而，网络应用的安全性一直是一个重要的问题。

为了确保网络应用的安全性，我们需要遵守一些开发规范和要求。

本文将讨论一些网络应用开发的安全规范要求，以确保网络应用的安全性。

一、安全审计和规划在开始开发网络应用之前，进行安全审计和规划是非常重要的。

安全审计可以帮助我们识别潜在的安全风险和漏洞，并采取相应的措施进行修复。

同时，制定详细的安全规划可以确保所有开发人员和相关人员都了解安全要求，并按照规划进行开发。

二、身份验证与授权在网络应用中，身份验证和授权是确保应用安全性的关键。

开发人员应该采用安全可靠的身份验证机制，确保只有授权的用户才能访问和使用应用。

同时，应该使用合适的授权规则和权限设置，限制用户的访问权限，防止未经授权的操作。

三、输入验证与过滤在开发网络应用时，输入验证和过滤是非常重要的。

开发人员应该对用户的输入进行验证和过滤，以防止恶意用户输入危险的数据。

常见的输入验证包括验证输入的格式、长度和数据类型等，确保只有合法的数据被接受和使用。

四、防止跨站脚本攻击（XSS）跨站脚本攻击（XSS）是一种常见的网络攻击手段。

为了防止XSS 攻击，开发人员应该对输入的数据进行过滤和转义，避免恶意脚本被执行。

同时，还需要将用户输入的数据在输出到网页上之前进行合适的处理和过滤。

五、防止SQL注入攻击SQL注入攻击是另一种常见的网络攻击手段。

为了防止SQL注入攻击，开发人员应该使用参数化查询或存储过程，确保用户输入的数据不会被误认为是恶意的SQL代码。

此外，还应该进行输入验证，过滤和转义，以进一步增强应用的安全性。

六、安全的会话管理在网络应用中，会话管理是非常重要的。

开发人员应该确保会话信息的安全性，防止会话劫持和会话固定攻击。

建议使用安全的会话机制，如使用随机生成的会话ID，定期更换会话ID，使用加密算法保护会话信息等。

七、安全的日志记录和监控日志记录和监控对于保护网络应用的安全性是至关重要的。

应用系统安全开发规范V1.0

2
3
文件操作要求
4
5
6
7
1
内存管理要求
2
3
1
2
异常管理要求
3
4
5
1
系统输出处理要求
2
3
1
2
3
4
其他注意事项
5
6 7
8
9 测试阶段安全要求安全需求
1 2 3 4 5
6
认证测试要求
7
认证测试要求 8 9 10 11 12
13
1
授权测试要求
2
3
1 数据验证测试要求
2
1
2
可用性测试要求
3
4
5
6 1 2 配置管理测试要求 3
需求描述
要对所有来源不在可信任范围之内的输入进行验证，包括来自于用户、服务、共享文件和数据库的输入。对 WEB 系统，需要验证HTTP 请求消息的全部字段，例如：GET 数据和POST 数据， COOKIE 和Header 数据等。除验证数据内容外，需限定数据的大小或长度。
设计阶段安全要求安全需求身份验证
会话管理访问控制
数据存储与传输要求
编号 1 2 3 4 5 6
7 8 1 2 3 4 5 6 7 1 2 3 4 1 2 3 4 5
6
7
1
日志记录要求
2
3
4
5
开发阶段安全要求安全需求
1
2
3
5
6
7
输入验证要求
8
9
10 11
12
13
1 2
数据库访问要求
3
Hale Waihona Puke 451用户密码等机密信息存储及传输过程中一律使用哈希值，不能直接使用明文

(完整word版)Web应用开发规范

WEB应用系统编码与部署安全规范

WEB应用系统编码与部署安全规范WEB应用系统编码与部署安全规范总则第一条为规范公司业务系统 WEB 应用编码和部署的安全控制和管理，特制定本规范,并作为安全检查及考核的参考依据。

第二条本规范中列出的是常见安全措施和高风险的漏洞，在软件产品研发与系统部署的过程中，对本规范未能尽述的必要安全措施，仍应予以采用。

第三条第四条本规范每年复审一次，其它时候也可以根据需要进行修订并发布。

本规范的解释权和修改权归属我司信息技术部。

第二章适用范围第五条第六条本规范适用于我司所有在线业务系统、测试系统的WEB 应用。

本规范可作为其他非 WEB 应用的编码和部署安全办法参考。

第二章软件编码安全第七条 SQL 语句的参数应以变量形式传入（一）在对数据库进行查询与各类操作时，SQL 语句中的参数应以变量形式传输给服务器，不应直接将参数的值拼接到SQL 语句的文本中。

（二）参数的类型包括所有数据类型，而不仅是字符串类型。

（三）参数值的来源包括但不限于：用户输入的数据、从数据库中读出的数据、从配置文件中读出的数据、从外部系统中获得的数据、其它程序逻辑计算得出的数据，等等。

（四）SQL 语句的执行位置包括但不限于：代码中的 SQL 语句，数据库的存储过程、触发器、定时器等。

（五）应用程序在处理用户非法URL 请求，触发后台应用程序的SQL 错误时，应返回处理后的错误页面提示，禁止直接抛出数据库SQL 错误，如出现ORA-xxx 等等。

第八条页面中的非源代码内容应经过 URI 编码（一）页面中的非源代码内容，应该以URI 编码后的字符出现，避免特殊字符直接出现在页面中。

（二）内容的来源包括但不限于：在服务器端由程序生成的页面内容、在浏览器端由脚本生成的页面内容（如：javascript 中的document.write 函数）。

（三）页面中的隐藏内容、页面格式控制等，也应受本条约束。

第九条页面中拼装的脚本应校验元素来源的合法性（一）在浏览器端拼装并运行（如：利用 javascript 的 eval 函数执行）的脚本，应校验拼装元素的来源合法性，确定其中没有危害性的内容。

WEB应用系统安全规范文档

WEB 应用系统安全规范目录WEB应用系统安全规范 ............................. 错误!未定义书签。

1 概述................................... 错误! 未定义书签。

目的............................................................................. 错误! 未定义书签。

适用范围 ......................................................................... 错误! 未定义书签。

2 范围................................... 错误! 未定义书签。

3 名词解释.................................. 错误! 未定义书签。

4 WEB开发安全规范.............................. 错误!未定义书签。

VEB应用程序体系结构和安全............................ 错误！未定义书签。

VE B安全编码规范 ............................... 错误!未定义书签。

区分公共区域和受限区域. ........................................ 错误！未定义书签。

对身份验证cookie 的内容进行加密. .................................... 错误!未定义书签。

限制会话寿命............................ 错误!未定义书签。

使用SSL 保护会话身份验证Cookie . ................................... 错误!未定义书签。

确保用户没有绕过检查.......................... 错误!未定义书签。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

DKBA 华为技术有限公司内部技术规范DKBA 1606-XXXX.X Web应用安全开发规范V1.52013年XX月XX日发布2013年XX月XX日实施华为技术有限公司Huawei Technologies Co., Ltd.版权所有侵权必究All rights reserved修订声明Revision declaration本规范拟制与解释部门：网络安全能力中心&电信软件与核心网网络安全工程部本规范的相关系列规范或文件：《C&C++语言安全编程规范》《Java语言安全编程规范》相关国际规范或文件一致性：无替代或作废的其它规范或文件：无相关规范或文件的相互关系：《产品网络安全红线》和《电信软件与核心网业务部安全能力基线》中的Web安全要求引用了本规范的内容，如果存在冲突，以本规范为准。

规范号主要起草部门专家主要评审部门专家修订情况孟咏喜22499，潘海涛27360，孙林46580，王福40317，王锦亮36430，王美玲60011866，王谟磊65558，王玉龙24387，杨娟60019875，张锋43381，张健60005645，张轶57143，邹韬51591何伟祥33428 刘高峰63564，龚连阳00129383，许汝波62966，吴宇翔00120395，王欢00104062，吕晓雨56987 V1.2增加了Web Service、Ajax和上传和下载相关的安全规范。

何伟祥00162822 V1.3增加了防止会话固定和防止跨站请求伪造的安全规范。

何伟祥00162822 V1.4增加了“规则3.4.1”的实施指导；删除了“建议3.4.1”；修改了“6配套CBB介绍”的内容和获取方式。

增加了“3.9 DWR”何伟祥00162822 吴淑荣00197720 魏建雄00222906 谢和坤00197709 李田00042091 孙波00175839 朱双红00051429 王伟00207440陈伟00141500V1.5增加“规则3.3.9、规则3.6.5、规则4.7.1、建议4.7.2、4.8 PHP”增加“3.8 RESTfulWeb Service”修改“规则3.2.2.8、规则3.2.2.3、规则3.4.1、规则4.6.1”规范号主要起草部门专家主要评审部门专家修订情况删除“3.2.1口令策略”和“规则3.1.3、规则3.2.3.8、规则4.7.1”附件文档作为对象直接插入主文档目录Table of Contents1概述 (7)1.1背景简介 (7)1.2技术框架 (8)1.3使用对象 (9)1.4适用范围 (9)1.5用词约定 (9)2常见WEB安全漏洞 (10)3WEB设计安全规范 (11)3.1W EB部署要求 (11)3.2身份验证 (12)3.2.1口令 (12)3.2.2认证 (12)3.2.3验证码 (15)3.3会话管理 (16)3.4权限管理 (17)3.5敏感数据保护 (18)3.5.1敏感数据定义 (18)3.5.2敏感数据存储 (18)3.5.3敏感数据传输 (20)3.6安全审计 (21)3.7W EB S ERVICE (22)3.8REST FUL W EB S ERVICE (23)3.9DWR (24)4WEB编程安全规范 (25)4.1输入校验 (25)4.2输出编码 (30)4.3上传下载 (30)4.4异常处理 (31)4.5代码注释 (31)4.6归档要求 (32)4.7其他 (33)4.8PHP (34)5WEB安全配置规范 (36)6配套CBB介绍 (37)6.1WAF CBB (37)6.2验证码CBB (38)7附件 (38)7.1附件1T OMCAT配置SSL指导 (38)7.2附件2W EB S ERVICE 安全接入开发指导 (38)7.3附件3客户端IP鉴权实施指导 (38)7.4附件4口令安全要求 (38)7.5附件5W EB权限管理设计规格说明书 (39)Web应用安全开发规范V1.51 概述1.1 背景简介在Internet大众化及Web技术飞速演变的今天，Web安全所面临的挑战日益严峻。

黑客攻击技术越来越成熟和大众化，针对Web的攻击和破坏不断增长，Web安全风险达到了前所未有的高度。

许多程序员不知道如何开发安全的应用程序，开发出来的Web应用存在较多的安全漏洞，这些安全漏洞一旦被黑客利用将导致严重甚至是灾难性的后果。

这并非危言耸听，类似的网上事故举不胜举，公司的Web产品也曾多次遭黑客攻击，甚至有黑客利用公司Web产品的漏洞敲诈运营商，造成极其恶劣的影响。

本规范就是提供一套完善的、系统化的、实用的Web安全开发方法供Web研发人员使用，以期达到提高Web安全的目的。

本规范主要包括三大内容：Web设计安全、Web编程安全、Web配置安全，配套CBB，多管齐下，实现Web应用的整体安全性；本规范主要以JSP/Java编程语言为例。

1.2 技术框架图1典型的Web安全技术框架图1 显示了典型的Web安全的技术框架和安全技术点，这些安全技术点，贯穿整个Web设计开发过程。

上图各个区域中存在任何一点薄弱环节，都容易导致安全漏洞。

由于HTTP的开放性，Web应用程序必须能够通过某种形式的身份验证来识别用户，并确保身份验证过程是安全的，同样必须很好地保护用于跟踪已验证用户的会话处理机制。

为了防止一些恶意输入，还要对输入的数据和参数进行校验。

另外还要考虑Web系统的安全配置，敏感数据的保护和用户的权限管理，以及所有操作的安全审计。

当然还要考虑代码安全，以及其他方面的威胁。

表 1 列出了一些Web缺陷类别，并针对每类缺陷列出了由于设计不当可能会导致的潜在问题。

针对这些潜在的问题，本规范中有相应的解决措施。

表1Web 应用程序缺陷和由于不良设计可能导致的问题缺陷类别由于不良设计可能导致的问题身份验证身份伪造、口令破解、权限提升和未授权访问。

会话管理通过捕获导致会话劫持和会话伪造。

权限管理访问机密或受限数据、篡改和执行未授权操作。

配置管理未授权访问管理界面、更新配置数据、访问用户帐户和帐户配置文件。

敏感数据机密信息泄漏和数据篡改。

加密技术未授权访问机密数据或帐户信息。

安全审计未能识别入侵征兆、无法证明用户的操作，以及在问题诊断中存在困难。

输入检验通过嵌入查询字符串、窗体字段、Cookie 和 HTTP 标头中的恶意字符串所执行的攻击。

包括命令执行、跨站点脚本编写 (XSS)、SQL 注入和缓冲区溢出攻击等。

参数操作路径遍历攻击、命令执行、此外还有跳过访问控制机制、导致信息泄露、权限提升和拒绝服务。

异常管理拒绝服务和敏感的系统级详细信息泄露。

1.3 使用对象本规范的读者及使用对象主要为Web相关的需求分析人员、设计人员、开发人员、测试人员等。

1.4 适用范围本规范的制定考虑了公司各种Web应用开发的共性，适合于公司绝大部分Web产品，要求Web产品开发必须遵循。

对于嵌入式系统（如ADSL Modem、硬件防火墙）中的Web应用，由于其特殊性（CPU、内存、磁盘容量有限，没有成熟的Web容器），不强制遵循本规范的所有内容，只需遵循以下章节的规则要求：3.2身份验证3.3会话管理3.5敏感数据保护4.1输入校验4.2输出编码4.3上传下载4.5代码注释4.6归档要求1.5 用词约定✧规则：强制必须遵守的原则✧建议：需要加以考虑的原则✧说明：对此规则或建议进行相应的解释实施指导：对此规则或建议的实施进行相应的指导2 常见Web安全漏洞Web应用的安全漏洞有很多，无法穷举。

针对众多的Web漏洞，OWASP的专家们结合各自在各领域的应用安全工作经验及智慧，提出了十大Web应用程序安全漏洞，帮助人们关注最严重的漏洞。

（OWASP即开放Web应用安全项目，是一个旨在帮助人们理解和提高Web应用及服务安全性的项目组织。

）表2十大Web应用程序安全漏洞列表序号漏洞名称漏洞描述1 注入注入攻击漏洞，例如SQL、OS命令以及LDAP注入。

这些攻击发生在当不可信的数据作为命令或者查询语句的一部分，被发送给解释器的时候。

攻击者发送的恶意数据可以欺骗解释器，以执行计划外的命令或者访问未被授权的数据。

2 跨站脚本当应用程序收到含有不可信的数据，在没有进行适当的验证和转义的情况下，就将它发送给一个网页浏览器，这就会产生跨站脚本攻击（简称XSS）。

XSS允许攻击者在受害者的浏览器上执行脚本，从而劫持用户会话、危害网站、或者将用户转向至恶意网站。

3 失效的身份认证和会话管理与身份认证和会话管理相关的应用程序功能往往得不到正确的实现，这就导致了攻击者破坏密码、密匙、会话令牌或攻击其他的漏洞去冒充其他用户的身份。

4 不安全的直接对象引用当开发人员暴露一个对内部实现对象的引用时，例如，一个文件、目录或者数据库密匙，就会产生一个不安全的直接对象引用。

在没有访问控制检测或其他保护时，攻击者会操控这些引用去访问未授权数据。

5 跨站请求伪造一个跨站请求伪造攻击迫使登录用户的浏览器将伪造的HTTP请求，包括该用户的会话cookie和其他认证信息，发送到一个存在漏洞的Web应用程序。

这就允许了攻击者迫使用户浏览器向存在漏洞的应用程序发送请求，而这些请求会被应用程序认为是用户的合法请求。

6 安全配置错误好的安全需要对应用程序、框架、应用程序服务器、Web服务器、数据库服务器和平台，定义和执行安全配置。

由于许多设置的默认值并不是安全的，因此，必须定义、实施和维护所有这些设置。

这包括了对所有的软件保护及时地更新，包括所有应用程序的库文件。

7 失败的URL访问权限限制许多Web应用程序在显示受保护的链接和按钮之前会检测URL访问权限。

但是，当这些页面被访问时，应用程序也需要执行类似的访问控制检测，否则攻击者将可以伪装这些URL去访问隐藏的网页。

8 未经验证的重定向和前转Web应用程序经常将用户重定向和前转到其他网页和网站，并且利用不可信的数据去判定目的页面。

如果没有得到适当验证，攻击者可以将受害用户重定向到钓鱼网站或恶意网站，或者使用前转去访问未经授权的网页。

9 不安全的加密存储许多Web应用程序并没有使用恰当的加密措施或Hash算法保护敏感数据，比如信用卡、社会安全号码（SSN）、认证凭据等。

攻击者可能利用这种弱保护数据实行身份盗窃、信用卡欺骗或或其他犯罪。

10 传输层保护不足应用程序时常没有身份认证、加密措施，甚至没有保护敏感网络数据的保密性和完整性。

而当进行保护时，应用程序有时采用弱算法、使用过期或无效的证书，或不正确地使用这些技术。

3 Web设计安全规范3.1 Web部署要求规则3.1.1：如果Web 应用对Internet 开放，Web服务器应当置于DMZ区，在Web服务器与Internet之间，Web服务器与内网之间应当有防火墙隔离，并设置合理的策略。