您的位置:360文档中心› 华为技术有限公司内部技术规范

华为技术有限公司内部技术规范

合集下载
相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

DKBA 华为技术有限公司内部技术规范

DKBA 1606-XXXX.X Web应用安全开发规范 V1.5

2013年XX月XX日公布 2013年XX月XX日实施

华为技术有限公司

Huawei Technologies Co., Ltd.

版权所有侵权必究

All rights reserved

修订声明Revision declaration

本规范拟制与解释部门:

网络安全能力中心&电信软件与核心网网络安全工程部

本规范的相关系列规范或文件:

《C&C++语言安全编程规范》《Java语言安全编程规范》相关国际规范或文件一致性:

替代或作废的其它规范或文件:

相关规范或文件的相互关系:

《产品网络安全红线》和《电信软件与核心网业务部安全能力基线》中的Web安全要求引用了本规范的内容,假如存在冲突,以本规范为准。

目录 Table of Contents

1概述 (9)

1.1 背景简介 (9)

1.2 技术框架 (10)

1.3 使用对象 (12)

1.4 适用范围 (12)

1.5 用词约定 (13)

2常见WEB安全漏洞 (13)

3WEB设计安全规范 (15)

3.1 W EB部署要求 (15)

3.2 身份验证 (16)

3.2.1 .................................. 口令

16

3.2.2 .................................. 认证

17

3.2.3 ................................ 验证码

22

3.3 会话治理 (23)

3.4 权限治理 (27)

3.5 敏感数据爱护 (28)

3.5.1 .......................... 敏感数据定义

28

3.5.2 .......................... 敏感数据存储

29

3.5.3 .......................... 敏感数据传输

32

3.6 安全审计 (34)

3.7 W EB S ERVICE (36)

3.8 REST FUL W EB S ERVICE (37)

3.9 DWR (39)

4WEB编程安全规范 (41)

4.1 输入校验 (41)

4.2 输出编码 (48)

4.3 上传下载 (49)

4.4 异常处理 (50)

4.5 代码注释 (50)

4.6 归档要求 (52)

4.7 其他 (53)

4.8 PHP (58)

5WEB安全配置规范 (61)

6配套CBB介绍 (61)

6.1 WAF CBB (61)

6.2 验证码CBB (62)

7附件 (63)

7.1 附件1T OMCAT配置SSL指导 (63)

7.2 附件2W EB S ERVICE 安全接入开发指导 (63)

7.3 附件3客户端IP鉴权实施指导 (63)

7.4 附件4口令安全要求 (63)

7.5 附件5W EB权限治理设计规格讲明书 (64)

Web应用安全开发规范 V1.5

1概述

1.1背景简介

在Internet大众化及Web技术飞速演变的今天,Web安全所面临的挑战日益严峻。黑客攻击技术越来越成熟和大众化,针对Web的攻击和破坏不断增长,Web安全风险达到了前所未有的高度。

许多程序员不明白如何开发安全的应用程序,开发出来的Web应用存在较多的安全漏洞,这些安全漏洞一旦被黑客利用将导致严峻甚至是灾难性的后果。这并非危言耸听,类似的网上事故举不胜举,公司的Web产品也曾多次遭黑客攻击,甚至有黑客利用公司Web产品的漏洞敲诈运营商,造成极其恶劣的阻碍。

本规范确实是提供一套完善的、系统化的、有用的Web安全开发方法供Web研发人员使用,以期达到提高Web安全的目的。本规范要紧包括三大内容:Web设计安全、Web编程安全、Web 配置安全,配套CBB,多管齐下,实现Web应用的整体安全性;本规范要紧以JSP/Java编程语言为例。

1.2技术框架

图1典型的Web安全技术框架

图1 显示了典型的Web安全的技术框架和安全技术点,这些安全技术点,贯穿整个Web设计开发过程。上图各个区域中存在任何一点薄弱环节,都容易导致安全漏洞。

由于HTTP的开放性,Web应用程序必须能够通过某种形式的身份验证来识不用户,并确保身份验证过程是安全的,同样必须专门好地爱护用于跟踪已验证用户的会话处理机制。为了防止一些恶意输入,还要对输入的数据和参数进行校验。另外还要考虑Web系统的安全配置,敏感数据的爱护和用户的权限治理,以及所有操作的安全审计。因此还要考虑代码安全,以及其他方面

的威胁。

表 1 列出了一些Web缺陷类不,并针对每类缺陷列出了由于设计不当可能会导致的潜在问题。针对这些潜在的问题,本规范中有相应的解决措施。

表1Web 应用程序缺陷和由于不良设计可能导致的问题

1.3使用对象

本规范的读者及使用对象要紧为Web相关的需求分析人员、设计人员、开发人员、测试人员等。

1.4适用范围

本规范的制定考虑了公司各种Web应用开发的共性,适合于公司绝大部分Web产品,要求Web产品开发必须遵循。

关于嵌入式系统(如ADSL Modem、硬件防火墙)中的Web 应用,由于其专门性(CPU、内存、磁盘容量有限,没有成熟的Web容器),不强制遵循本规范的所有内容,只需遵循以下章节的规则要求:

3.2身份验证

相关文档
最新文档