WEB应用系统安全规范

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

WEB应用系统安全规范

目录

WEB应用系统安全规范 (1)

1概述 (2)

1.1目的 (2)

1.2适用范围 (3)

2范围 (3)

3名词解释 (3)

4WEB开发安全规范 (4)

4.1W EB应用程序体系结构和安全 (4)

4.2W EB安全编码规范 (6)

4.2.1区分公共区域和受限区域 (6)

4.2.2对身份验证cookie 的内容进行加密 (6)

4.2.3限制会话寿命 (6)

4.2.4使用SSL 保护会话身份验证Cookie (6)

4.2.5确保用户没有绕过检查 (6)

4.2.6验证从客户端发送的所有数据 (7)

4.2.7不要向客户端泄漏信息 (7)

4.2.8记录详细的错误信息 (7)

4.2.9捕捉异常 (7)

4.2.10不要信任HTTP 头信息 (7)

4.2.11不要使用HTTP-GET 协议传递敏感数据 (7)

4.2.12不要在永久性cookie 中存储敏感数据 (7)

4.2.13对数据进行加密或确保通信通道的安全 (8)

4.2.14SQL 语句的参数应以变量形式传入 (8)

4.2.15页面中的非源代码内容应经过URI 编码 (8)

4.2.16页面中拼装的脚本应校验元素来源的合法性 (8)

4.2.17页面请求处理应校验参数的最大长度 (8)

4.2.18登录失败信息错误提示应一致 (9)

4.2.19避免页面上传任意扩展名的文件 (9)

4.2.20避免接受页面中的主机磁盘路径信息 (9)

4.2.21第三方产品的合法性 (9)

5系统部署安全规范 (9)

5.1部署架构和安全 (9)

5.1.1网络基础结构组件 (10)

5.1.2部署拓扑结构 (11)

5.2部署操作安全规范 (11)

5.2.1确保管理界面的安全 (11)

5.2.2确保配置存储的安全 (11)

5.2.3单独分配管理特权 (11)

5.2.4使用最少特权进程和服务帐户 (11)

5.2.5尽量避免存储机密 (12)

5.2.6不要在代码中存储机密 (12)

5.2.7不要以纯文本形式存储数据库连接、密码或密钥 (12)

5.2.8限制主机上WEB 系统启动用户的权限 (12)

5.2.9隐藏后台调试信息 (12)

5.2.10密码加密存储 (12)

5.2.11隐藏重要配置参数信息 (13)

5.2.12隐藏日志文件 (13)

5.2.13禁用WebDAV,或者禁止不需要的HTTP 方法 (13)

5.2.14保证管理平台、测试账号口令强度 (13)

5.2.15定期核查文件上传路径、日志路径中是否存在木马 (13)

5.2.16及时删除应用系统临时文件 (13)

5.2.17重要系统隔离 (13)

6安全审计 (14)

6.1审核并记录跨应用层的访问 (14)

6.2考虑标识流 (14)

6.3记录关键事件 (14)

6.4确保日志文件的安全 (14)

6.5定期备份和分析日志文件 (15)

7规范更新机制 (15)

8规范的执行 (15)

9参考资料 (16)

1概述

1.1目的

为规范我司Java Web应用编码和部署的安全控制和管理,特制定本规范,并作为安全

检查及考核的参考依据。

1.2适用范围

本规范适用于我司所有在线Java业务系统、测试系统的WEB应用。

本规范可作为其他非WEB应用的编码和部署安全办法参考。

2范围

本规范中列出的是常见安全措施和高风险的漏洞,在系统开发与系统部署的过程中,对本规范未能尽述的必要安全措施,仍应予以采用。

本规范每年复审一次,其它时候也可以根据需要进行修订并发布。本规范的解释权和修改权归属信息技术部。

3名词解释

验证:通讯实体(例如,客户端和服务器)彼此验证,以经过访问授权的特定标识为依据。

资源的访问控制:资源的交互仅限于某些用户或程序的集合,其目的是对完整性,保密性或可用性实施强制约束。

数据完整性:检验信息是否被第三方(非信息源的其它实体)修改。例如,处于开放网络环境中的数据接收方必须能够检测并丢弃那些在传递过程中被修改过的消息。

机密性或数据隐私:确保信息仅对经过访问授权的用户可用。

不可否认:对用户进行检验,让他无法否认自己进行过的活动。

审核:捕获一个安全相关事件的防篡改记录,目的是评估安全策略和机制的有效性。

4Web开发安全规范

4.1Web应用程序体系结构和安全

HTTP 是无国界的,这意味着跟踪每位用户的会话状态将成为应用程序的责任。应用程序必须能够通过某种形式的身份验证来识别用户。由于所有后续授权决策都要基于用户的标识,因此,身份验证过程必须是安全的,同样必须很好地保护用于跟踪已验证用户的会话处理机制。设计安全的身份验证和会话管理机制仅仅是Web 应用程序设计人员和开发人员所面临的众多问题中的两个方面。由于输入和输出数据要在公共网络上进行传输,因此还会存在其他挑战。防止参数操作和敏感数据泄漏也是另外一些重要问题。

Web应用程序安全设计是根据应用程序漏洞类别进行组织的。实际经验表明,如果这些领域的设计存在薄弱环节,将会导致安全漏洞。下表列出了漏洞的类别,每个类别都突出显示了由于设计不当可能会导致的潜在问题。

相关文档
最新文档