WEB应用系统安全规范文档

目录

WEB应用系统安全规范................................................. 错误!未定义书签。1概述............................................................ 错误!未定义书签。

目的 .................................................................... 错误!未定义书签。

适用范围 ................................................................ 错误!未定义书签。2范围............................................................ 错误!未定义书签。3名词解释........................................................ 错误!未定义书签。4WEB开发安全规范................................................. 错误!未定义书签。

W EB应用程序体系结构和安全................................................ 错误!未定义书签。

W EB安全编码规范.......................................................... 错误!未定义书签。

区分公共区域和受限区域......................................... 错误!未定义书签。

对身份验证 cookie 的内容进行加密............................... 错误!未定义书签。

限制会话寿命 .................................................. 错误!未定义书签。

使用 SSL 保护会话身份验证 Cookie ............................... 错误!未定义书签。

确保用户没有绕过检查........................................... 错误!未定义书签。

验证从客户端发送的所有数据..................................... 错误!未定义书签。

不要向客户端泄漏信息........................................... 错误!未定义书签。

记录详细的错误信息 ............................................ 错误!未定义书签。

捕捉异常 ...................................................... 错误!未定义书签。

不要信任 HTTP 头信息........................................ 错误!未定义书签。

不要使用 HTTP-GET 协议传递敏感数据 .......................... 错误!未定义书签。

不要在永久性 cookie 中存储敏感数据 .......................... 错误!未定义书签。

对数据进行加密或确保通信通道的安全 .......................... 错误!未定义书签。

SQL 语句的参数应以变量形式传入 .............................. 错误!未定义书签。

页面中的非源代码内容应经过 URI 编码 ......................... 错误!未定义书签。

页面中拼装的脚本应校验元素来源的合法性 ...................... 错误!未定义书签。

页面请求处理应校验参数的最大长度 ............................ 错误!未定义书签。

登录失败信息错误提示应一致 .................................. 错误!未定义书签。

避免页面上传任意扩展名的文件 ................................ 错误!未定义书签。

避免接受页面中的主机磁盘路径信息 ............................ 错误!未定义书签。

第三方产品的合法性.......................................... 错误!未定义书签。

5系统部署安全规范 ................................................ 错误!未定义书签。

部署架构和安全 .......................................................... 错误!未定义书签。

网络基础结构组件 .............................................. 错误!未定义书签。

部署拓扑结构 .................................................. 错误!未定义书签。

部署操作安全规范 ........................................................ 错误!未定义书签。

确保管理界面的安全 ............................................ 错误!未定义书签。

确保配置存储的安全 ............................................ 错误!未定义书签。

单独分配管理特权 .............................................. 错误!未定义书签。

使用最少特权进程和服务帐户..................................... 错误!未定义书签。

尽量避免存储机密 .............................................. 错误!未定义书签。

不要在代码中存储机密........................................... 错误!未定义书签。

不要以纯文本形式存储数据库连接、密码或密钥..................... 错误!未定义书签。

限制主机上 WEB 系统启动用户的权限.............................. 错误!未定义书签。

隐藏后台调试信息 .............................................. 错误!未定义书签。

密码加密存储................................................ 错误!未定义书签。

隐藏重要配置参数信息........................................ 错误!未定义书签。

隐藏日志文件................................................ 错误!未定义书签。

禁用 WebDAV，或者禁止不需要的 HTTP 方法 ..................... 错误!未定义书签。

保证管理平台、测试账号口令强度 .............................. 错误!未定义书签。

定期核查文件上传路径、日志路径中是否存在木马................. 错误!未定义书签。