您的当前位置:首页正文

华为Web应用安全开发规范

2022-11-19 来源:个人技术集锦
DKBA

华为技术有限公司内部技术规范

DKBA

Web应用安全开发规范

2013年XX月XX日发布 2013年XX月XX日实施

华为技术有限公司

Huawei Technologies Co., Ltd.

版权所有 侵权必究

All rights reserved

修订声明Revision declaration

本规范拟制与解释部门:

网络安全能力中心&电信软件与核心网网络安全工程部

本规范的相关系列规范或文件:

《C&C++语言安全编程规范》《Java语言安全编程规范》

相关国际规范或文件一致性:

替代或作废的其它规范或文件:

相关规范或文件的相互关系:

《产品网络安全红线》和《电信软件与核心网业务部安全能力基线》中的Web安全要求引用了本规范的内容,如果存在冲突,以本规范为准。

规范号 主要起草部门专家 主要评审部门专家 修订情况

DKBA 安全解决方案:赵武42873,杨光磊57125,万振华55108

软件公司设计管理部:刘茂征11000,刘高峰63564,何伟祥33428 安全解决方案:刘海军12014,吴宇翔18167,吴海翔57182

接入网:彭东红27279

无线:胡涛46634

核心网:吴桂彬 41508,甘嘉栋 33229,马进 32897,谢秀洪 33194,张毅 27651,张永锋 40582

业软:包宜强56737,丁小龙63583,董鹏越60793,傅鉴杏36918,傅用成30333,龚连阳18753,胡海,胡海华52463,李诚37517,李大锋54630,李战杰21615,刘创文65632,刘飞46266,刘剑51690,栾阳62227,罗仁钧65560,罗湘武06277,马亮,孟咏喜22499,潘海涛27360,孙林46580,王福40317,王锦亮36430,王美玲,王谟磊65558,王玉龙24387,杨娟,张锋43381,张健,张轶57143,邹韬51591

何伟祥33428 刘高峰 63564,龚连阳 00129383,许汝波 62966,吴宇翔 00120395,

王欢 00104062,吕晓雨 56987

增加了Web Service、Ajax和上传和下载相关的安全规范。

何伟祥00162822

增加了防止会话固定和防止跨站请求伪造的安全规范。

何伟祥00162822

增加了“规则的实施指导;删除了“建议;修改了“6 配套CBB介绍”的内容和获取方式。增加了“ DWR”

何伟祥 00162822

吴淑荣 00197720

魏建雄 00222906

谢和坤 00197709

李田 00042091

孙波 00175839

朱双红 00051429 王伟 00207440

陈伟 00141500

增加“规则、规则、规则、建议、 PHP”

增加“ RESTful Web Service”

修改“规则、规则、规则、规则删除“口令策略”和“规则、规则、规则附件文档作为对象直接插入主文档

目 录 Table of Contents

1 概述 7

背景简介 7

技术框架 7

使用对象 8

适用范围 8

用词约定 9

2 常见WEB安全漏洞 9

3 WEB设计安全规范 10

WEB部署要求 10

身份验证 11

口令 11

认证 11

验证码 13

会话管理 13

权限管理 15

敏感数据保护 16

敏感数据定义 16

敏感数据存储 16

敏感数据传输 17

安全审计 18

WEB SERVICE 19

RESTFUL WEB SERVICE 20

DWR 21

4 WEB编程安全规范 22

输入校验 22

输出编码 25

上传下载 26

异常处理 26

代码注释 26

归档要求 27

其他 28

PHP 29

5 WEB安全配置规范 31

6 配套CBB介绍 31

WAF CBB 31

验证码CBB 32

7 附件 32

附件1 TOMCAT配置SSL指导 32

附件2 WEB SERVICE 安全接入开发指导 32

附件3 客户端IP鉴权实施指导 32

附件4 口令安全要求 32

附件5 WEB权限管理设计规格说明书 34

Web应用安全开发规范

1 概述

背景简介

在Internet大众化及Web技术飞速演变的今天,Web安全所面临的挑战日益严峻。黑客攻击技术越来越成熟和大众化,针对Web的攻击和破坏不断增长,Web安全风险达到了前所未有的高度。

许多程序员不知道如何开发安全的应用程序,开发出来的Web应用存在较多的安全漏洞,这些安全漏洞一旦被黑客利用将导致严重甚至是灾难性的后果。这并非危言耸听,类似的网上事故举不胜举,公司的Web产品也曾多次遭黑客攻击,甚至有黑客利用公司Web产品的漏洞敲诈运营商,造成极其恶劣的影响。

本规范就是提供一套完善的、系统化的、实用的Web安全开发方法供Web研发人员使用,以期达到提高Web安全的目的。本规范主要包括三大内容:Web设计安全、Web编程安全、Web配置安全,配套CBB,多管齐下,实现Web应用的整体安全性;本规范主要以JSP/Java编程语言为例。

技术框架

图1 典型的Web安全技术框架

图1 显示了典型的Web安全的技术框架和安全技术点,这些安全技术点,贯穿整个Web设计开发过程。上图各个区域中存在任何一点薄弱环节,都容易导致安全漏洞。

由于HTTP的开放性,Web应用程序必须能够通过某种形式的身份验证来识别用户,并确保身份验证过程是安全的,同样必须很好地保护用于跟踪已验证用户的会话处理机制。为了防止一些恶意输入,还要对输入的数据和参数进行校验。另外还要考虑Web系统的安全配置,敏感数据的保护和用户的权限管理,以及所有操作的安全审计。当然还要考虑代码安全,以及其他方面的威胁。

表 1 列出了一些Web缺陷类别,并针对每类缺陷列出了由于设计不当可能会导致的潜在问

题。针对这些潜在的问题,本规范中有相应的解决措施。

表1 Web 应用程序缺陷和由于不良设计可能导致的问题

缺陷类别 由于不良设计可能导致的问题

身份验证 身份伪造、口令破解、权限提升和未授权访问。

会话管理 通过捕获导致会话劫持和会话伪造。

权限管理 访问机密或受限数据、篡改和执行未授权操作。

配置管理 未授权访问管理界面、更新配置数据、访问用户帐户和帐户配置文件。

敏感数据 机密信息泄漏和数据篡改。

加密技术 未授权访问机密数据或帐户信息。

安全审计 未能识别入侵征兆、无法证明用户的操作,以及在问题诊断中存在困难。

输入检验 通过嵌入查询字符串、窗体字段、Cookie 和 HTTP 标头中的恶意字符串所执行的攻击。包括命令执行、跨站点脚本编写 (XSS)、SQL 注入和缓冲区溢出攻击等。

参数操作 路径遍历攻击、命令执行、此外还有跳过访问控制机制、导致信息泄露、权限提升和拒绝服务。

异常管理 拒绝服务和敏感的系统级详细信息泄露。

使用对象

本规范的读者及使用对象主要为Web相关的需求分析人员、设计人员、开发人员、测试人

员等。

适用范围

本规范的制定考虑了公司各种Web应用开发的共性,适合于公司绝大部分Web产品,要求Web产品开发必须遵循。

对于嵌入式系统(如ADSL Modem、硬件防火墙)中的Web应用,由于其特殊性(CPU、内存、磁盘容量有限,没有成熟的Web容器),不强制遵循本规范的所有内容,只需遵循以下章节的规则要求:

身份验证

会话管理

敏感数据保护

输入校验

输出编码

上传下载

代码注释

归档要求

用词约定

规则:强制必须遵守的原则

建议:需要加以考虑的原则

说明:对此规则或建议进行相应的解释

实施指导:对此规则或建议的实施进行相应的指导

2 常见Web安全漏洞

Web应用的安全漏洞有很多,无法穷举。针对众多的Web漏洞,OWASP的专家们结合各自在各领域的应用安全工作经验及智慧,提出了十大Web应用程序安全漏洞,帮助人们关注最严重的漏洞。(OWASP即开放Web应用安全项目,是一个旨在帮助人们理解和提高Web应用及服务安全性的项目组织。)

表2 十大Web应用程序安全漏洞列表

序号 漏洞名称 漏洞描述

1 注入 注入攻击漏洞,例如SQL、OS命令以及LDAP注入。这些攻击发生在当不可信

的数据作为命令或者查询语句的一部分,被发送给解释器的时候。攻击者发送的恶意数据可以欺骗解释器,以执行计划外的命令或者访问未被授权的数据。

2 跨站脚本 当应用程序收到含有不可信的数据,在没有进行适当的验证和转义的情况下,就将它发送给一个网页浏览器,这就会产生跨站脚本攻击(简称XSS)。XSS允许攻击者在受害者的浏览器上执行脚本,从而劫持用户会话、危害网站、或者将用户转向至恶意网站。

3 失效的身份认证和会话管理 与身份认证和会话管理相关的应用程序功能往往得不到正确的实现,这就导致了攻击者破坏密码、密匙、会话令牌或攻击其他的漏洞去冒充其他用户的身份。

4 不安全的直接对象引用 当开发人员暴露一个对内部实现对象的引用时,例如,一个文件、目录或者数据库密匙,就会产生一个不安全的直接对象引用。在没有访问控制检测或其他保护时,攻击者会操控这些引用去访问未授权数据。

5 跨站请求伪造 一个跨站请求伪造攻击迫使登录用户的浏览器将伪造的HTTP请求,包括该用户的会话cookie和其他认证信息,发送到一个存在漏洞的Web应用程序。这就允许了攻击者迫使用户浏览器向存在漏洞的应用程序发送请求,而这些请求会被应用程序认为是用户的合法请求。

6 安全配置错误 好的安全需要对应用程序、框架、应用程序服务器、Web服务器、数据库服务器和平台,定义和执行安全配置。由于许多设置的默认值并不是安全的,因此,必须定义、实施和维护所有这些设置。这包括了对所有的软件保护及时地更新,包括所有应用程序的库文件。

7 失败的URL访问权限限制 许多Web应用程序在显示受保护的链接和按钮之前会检测URL访问权限。但是,当这些页面被访问时,应用程序也需要执行类似的访问控制检测,否则攻击者将可以伪装这些URL去访问隐藏的网页。

8 未经验证的重定向和前转 Web应用程序经常将用户重定向和前转到其他网页和网站,并且利用不可信的数据去判定目的页面。如果没有得到适当验证,攻击者可以将受害用户重定向到钓鱼网站或恶意网站,或者使用前转去访问未经授权的网页。

9 不安全的加密存储 许多Web应用程序并没有使用恰当的加密措施或Hash算法保护敏感数据,比如信用卡、社会安全号码(SSN)、认证凭据等。攻击者可能利用这种弱保护数据实行身份盗窃、信用卡欺骗或或其他犯罪。

10 传输层保护不足 应用程序时常没有身份认证、加密措施,甚至没有保护敏感网络数

据的保密性和完整性。而当进行保护时,应用程序有时采用弱算法、使用过期或无效的证书,或不正确地使用这些技术。

3 Web设计安全规范

Web部署要求

规则:如果 Web 应用对 Internet 开放,Web服务器应当置于DMZ区,在Web服务器与Internet之间,Web服务器与内网之间应当有防火墙隔离,并设置合理的策略。

规则:如果 Web 应用对 Internet 开放,Web服务器应该部署在其专用的服务器上,应避免将数据库服务器或其他核心应用与Web服务器部署在同一台主机上。

说明:Web服务器比较容易被攻击,如果数据库或核心应用与Web服务器部署在同一台主机,一旦Web服务器被攻陷,那么数据库和核心应用也就被攻击者掌控了。

规则:Web站点的根目录必须安装在非系统卷中。

说明:Web站点根目录安装在非系统卷,如单独创建一个目录/home/Web作为Web站点根目录,能够防止攻击者使用目录遍历攻击访问系统工具和可执行文件。

建议:Web服务器与应用服务器需物理分离(即安装在不同的主机上),以提高应用的安全性。

建议:如果Web应用系统存在不同的访问等级(如个人帐号使用、客户服务、管理),那么应该通过不同的Web服务器来处理来自不同访问等级的请求,而且Web应用应该鉴别请求是否来自正确的Web服务器。

说明:这样便于通过防火墙的访问控制策略和Web应用来控制不同访问等级的访问,比如

通过防火墙策略控制,只允许内网访问管理Portal。

建议:对于“客户服务”和“管理”类的访问,除了普通的认证,还应该增加额外的访问限制。

说明:额外的访问限制,可以限制请求来自企业内网,可以建立VPN,或采用双向认证的SSL;或采用更简单的办法,通过IP地址白名单对客户端的IP地址进行过滤判断,实施参考《附件3客户端IP鉴权实施指导》。

身份验证

口令

关于Web应用及容器涉及到的口令,请遵循《产品网络安全红线》的口令安全要求(详细内容请见:附件4 口令安全要求.xlsx)。

认证

规则:对用户的最终认证处理过程必须放到应用服务器进行。

说明:不允许仅仅通过脚本或其他形式在客户端进行验证,必须在应用服务器进行最终认证处理(如果采用集中认证,那么对用户的最终认证就是放在集中认证服务器进行)。

规则:网页上的登录/认证表单必须加入验证码。

说明:使用验证码的目的是为了阻止攻击者使用自动登录工具连续尝试登录,从而降低被暴力破解的可能。如果觉得验证码影响用户体验,那么可以在前3次登录尝试中不使用验证码,3次登录失败后必须使用验证码。验证码在设计上必须要考虑到一些安全因素,以免能被轻易地破解。具体实现细节请查看验证码。如图:

图2 验证码

实施指导:

建议使用电信软件与核心网网络安全工程部提供的验证码CBB。

备注:对于嵌入式系统,如果实现验证码比较困难,可以通过多次认证失败锁定客户端IP的方式来防止暴力破解。

规则:用户名、密码和验证码必须在同一个请求中提交给服务器,必须先判断验证码是否正确,只有当验证码检验通过后才进行用户名和密码的检验,否则直接提示验证码错误。

说明:如果验证码和用户名、密码分开提交,攻击者就可以绕过验证码校验(如:先手工提交正确的验证码,再通过程序暴力破解),验证码就形同虚设,攻击者依然可以暴力破解用户名及口令。

规则:所有登录页面的认证处理模块必须统一。

说明:可以存在多个登录页面,但是不允许存在多个可用于处理登录认证请求的模块,防止不一致的认证方式。

规则:所有针对其他第三方开放接口的认证处理模块必须统一。

规则:认证处理模块必须对提交的参数进行合法性检查。

说明:具体输入校验部分请查看输入校验。

规则:认证失败后,不能提示给用户详细以及明确的错误原因,只能给出一般性的提示。

说明:可以提示:“用户名或者口令错误,登录失败”;不能提示:“用户名不存在”、“口令

必须是 6 位”等等。

规则:最终用户portal和管理portal分离。

说明:最终用户portal和管理portal分离,防止相互影响,防止来自用户面的攻击影响管理面。

实施指导:

将最终用户portal和管理portal分别部署在煌奈锢矸务器;如果为了解决成本合设(部署在同一台物理服务器上),那么,必须做到端口分离(通过不同的端口提供Web服务),一般的Web容器(如tomcat)支持为不同的Web应用创建不同的端口。

规则:禁止在系统中预留任何的后门帐号或特殊的访问机制。

规则:对于重要的管理事务或重要的交易事务要进行重新认证,以防范会话劫持和跨站请求伪造给用户带来损失。

说明:重要的管理事务,比如重新启动业务模块;重要的交易事务,比如转账、余额转移、充值等。重新认证,比如让用户重新输入口令。

规则:用户名和密码认证通过后,必须更换会话标识,以防止会话固定(session fixation)漏洞。

实施指导:

场景一:对于从HTTP转到HTTPS再转到HTTP(也就是仅在认证过程采用HTTPS,认证成功后又转到HTTP)的,在用户名和密码认证通过后增加以下行代码:

().invalidate();

HttpSession newSession=(true);

Cookie cookie = new Cookie(\"JSESSIONID\

(-1);

(false);

());

(cookie);

场景二:对于全程采用HTTPS协议,或者全程采用HTTP协议的,在用户名和密码认证通过后增加以下行代码:

().invalidate();

(true);

建议:管理页面建议实施强身份认证。

说明:如双因素认证、SSL双向证书认证、生物认证等;还可以通过应用程序限制只允许某些特定的IP地址访问管理页面,并且这些特定的IP地址可配置。

建议:同一客户端在多次连续尝试登录失败后,服务端需要进行用户帐号或者是客户端所在机器的 IP 地址的锁定策略,且该锁定策略必须设置解锁时长,超时后自动解锁。

说明:

登录失败应该提示用户:如果重试多少次不成功系统将会锁定。在锁定期间不允许该用户帐号(或者客户端所在机器的 IP 地址)登录。

允许连续失败的次数(指从最后一次成功以来失败次数的累计值)可配置,取值范围为:0-99 次,0表示不执行锁定策略,建议默认:5 次。

锁定时长的取值范围为:0-999 分钟,建议默认:30 分钟,当取值为 0 时,表示无限期锁定,只能通过管理员手动解锁(需要提供管理员对服务器锁定其它用户帐号/IP进行解锁的功能界面)。建议优先使用帐号锁定策略。

注意:应用程序的超级用户帐号不能被锁定,只能锁定操作的客户端所在的 IP,这是为了防止系统不可用。特别说明:锁客户端IP策略存在缺陷,当用户使用proxy上网时,那么锁定客户端IP会导致使用该proxy上网的所有用户在IP锁定期间都不能使用该Web应用;锁定用户帐户的策略也存在缺陷,当攻击者不断尝试某帐户的口令,就给该帐户带来拒绝服务攻击,使该帐户不可用。

验证码

规则:验证码必须是单一图片,且只能采用 JPEG、PNG或GIF格式。

说明:验证码不能使用文本格式,不允许多图片组合(如用四个图片拼成的验证码)。

规则:验证码内容不能与客户端提交的任何信息相关联。

说明:在使用验证码生成模块时不允许接收来自客户端的任何参数,例如:禁止通过code=1234的URL请求,将1234作为验证码随机数。

规则:验证码模块生成的随机数不能在客户端的静态页面中的网页源代码里出现。

说明:在客户端网页上点击鼠标右键、选择“查看源文件”时,必须看不到验证码模块生成的随机数。

规则:验证码字符串要求是随机生成,生成的随机数必须是安全的。

说明:对于java语言可以使用类 来生成安全的随机数。

规则:验证码要求有背景干扰,背景干扰元素的颜色、位置、数量要求随机变化。

规则:验证码在一次使用后要求立即失效,新的请求需要重新生成验证码。

说明:进行验证码校验后,立即将会话中的验证码信息清空,而不是等到生成新的验证码时再去覆盖旧的验证码,防止验证码多次有效;注意:当客户端提交的验证码为空,验证不通过。

说明:

以上规则可以通过使用电信软件与核心网网络安こ滩刻峁┑验证码CBB来实现。

会话管理

规则:使用会话cookie维持会话。

说明:目前主流的Web容器通过以下几种方式维持会话:隐藏域、URL重写、持久性cookie、会话cookie,但通过隐藏域、URL重写或持久性cookie方式维持的会话容易被窃取,所以要求使用会话cookie维持会话。如果条件限制必须通过持久性cookie维持会话的话,那么cookie信息中的重要数据部分如身份信息、计费信息等都必须进行加密。(cookie有两种:会话cookie和持久性cookie;会话cookie,也就是非持久性cookie,不设置过期时间,其生命期为浏览器会话期间,只要关闭浏览器窗口,cookie就消失了;会话cookie一般不存储在硬盘上而是保存在内存里。持久性cookie,设置了过期时间,被浏览器保存到硬盘上,关闭后再次打开浏览器,持久性cookie仍然有效直到超过设定的过期时间。)

备注:对于嵌入式系统的Web,不适合本条规则,按“规则实施。

规则:会话过程中不允许修改的信息,必须作为会话状态的一部分在服务器端存储和维护。

说明:会话过程中不允许修改的信息,例如,当用户通过认证后,其用户标识在整个会话过程中不能被篡改。禁止通过隐藏域或URL重写等不安全的方式存储和维护。对JSP语言,就是应该通过session对象进行存储和维护。

规则:当Web应用跟踪到非法会话,则必须记录日志、清除会话并返回到认证界面。

说明: 非法会话的概念就是通过一系列的服务端合法性检测(包括访问未授权资源,缺少必要参数等情况),最终发现的不是正常请求产生的会话。

规则:禁止使用客户端提交的未经审核的信息来给会话信息赋值。

说明:防止会话信息被篡改,如恶意用户通过URL篡改手机号码等。

规则:当用户退出时,必须清除该用户的会话信息。

说明:防止遗留在内存中的会话信息被窃取,减少内存占用。

实施指导:对于JSP或java语言使用如下语句:().invalidate();

规则:必须设置会话超时机制,在超时过后必须要清除该会话信息。

说明:建议默认会话超时时间为10分钟(备注:对于嵌入式系统中的Web,建议默认超时时间为5分钟,以减少系统资源占用)。如果没有特殊需求,禁止使用自动发起请求的机制来阻止session超时。

规则:在服务器端对业务流程进行必要的流程安全控制,保证流程衔接正确,防止关键鉴

别步骤被绕过、重复、乱序。

说明:客户端流程控制很容易被旁路(绕过),因此流程控制必须在服务器端实现。

实施指导:可以通过在session对象中创建一个表示流程当前状态的标识位,用0、1、2、3、…、N分别表示不同的处理步骤,标识位的初始值为0,当接收到步骤N的处理请求时,判断该标识位是否为N-1,如果不为N-1,则表示步骤被绕过(或重复或乱序),拒绝受理,否则受理,受理完成后更改标识位为N。

规则:所有登录后才能访问的页面都必须有明显的“注销(或退出)”的按钮或菜单,如果该按钮或菜单被点击,则必须使对应的会话立即失效。

说明:这样做是为了让用户能够方便地、安全地注销或退出,减小会话劫持的风险。

规则:如果产品(如嵌入式系统)无法使用通用的Web容器,只能自己实现Web服务,那么必须自己实现会话管理,并满足以下要求:

采用会话cookie维持会话。

生成会话标识(session ID)要保证足够的随机、离散,以便不能被猜测、枚举,要

求session ID要至少要32字节,要支持字母和数字字符集。

服务端必须对客户端提交的session ID的有效性进行校验。

说明:在嵌入式系统中部署Web应用,由于软硬件资源所限,往往无法使用通用的Web容器及容器的会话管理功能,只能自己实现。另外,为了节省内存,嵌入式webserver进程往往是动态启动,为了使session更快的超时,建议增加心跳机制,对客户端浏览器是否关闭进行探测,5s一个心跳,30s没有心跳则session超时,关闭该session。

权限管理

规则:对于每一个需要授权访问的页面或servlet的请求都必须核实用户的会话标识是否合法、用户是否被授权执行这个操作。

说明:防止用户通过直接输入URL,越权请求并执行一些页面或servlet;建议通过过滤器实现。

实施指导: 请参考“附件5 Web权限管理设计规格说明书.docx”。

规则:授权和用户角色数据必须存放在服务器端,不能存放在客户端,鉴权处理也必须在服务器端完成。

说明:禁止将授权和角色数据存放在客户端中(比如cookie或隐藏域中),以防止被篡改。

规则:一个帐号只能拥有必需的角色和必需的权限。一个组只能拥有必需的角色和必需的权限。一个角色只能拥有必需的权限。

说明:做到权限最小化和职责分离(职责分离就是分清帐号角色,系统管理帐号只用于系统管理,审计帐号只用于审计,操作员帐号只用于业务维护操作,普通用户帐号只能使用业务。)这样即使帐号被攻击者盗取,也能把安全损失控制在最小的限度。

规则:对于运行应用程序的操作系统帐号,不应使用“root”、“administrator”、“supervisor”等特权帐号或高级别权限帐号,应该尽可能地使用低级别权限的操作系统帐号。

规则:对于应用程序连接数据库服务器的数据库帐号,在满足业务需求的前提下,必须使用最低级别权限的数据库帐号。

说明:根据业务系统要求,创建相应的数据库帐号,并授予必需的数据库权限。不能使用

“sa”、“sysman”等管理帐号或高级别权限帐号。

敏感数据保护

敏感数据定义

敏感数据包括但不限于:口令、密钥、证书、会话标识、License、隐私数据(如短消息的内容)、授权凭据、个人数据(如姓名、住址、电话等)等,在程序文件、配置文件、日志文件、备份文件及数据库中都有可能包含敏感数据。

敏感数据存储

规则:禁止在代码中存储敏感数据。

说明:禁止在代码中存储如数据库连接字符串、口令和密钥之类的敏感数据,这样容易导致泄密。用于加密密钥的密钥可以硬编码在代码中。

规则:禁止密钥或帐号的口令以明文形式存储在数据库或者文件中。

说明:密钥或帐号的口令必须经过加密存储。例外情况,如果Web容器的配置文件中只能以明文方式配置连接数据库的用户名和口令,那么就不用强制遵循该规则,将该配置文件的属性改为只有属主可读写。

规则:禁止在 cookie 中以明文形式存储敏感数据。

说明:cookie信息容易被窃取,尽量不要在cookie中存储敏感数据;如果条件限制必须使用cookie存储敏感信息时,必须先对敏感信息加密再存储到cookie。

规则:禁止在隐藏域中存放明文形式的敏感数据。

规则:禁止用自己开发的加密算法,必须使用公开、安全的标准加密算法。

实施指导:

场景 1:后台服务端保存数据库的登录口令

后台服务器登录数据库需要使用登录数据库的明文口令,此时后台服务器加密保存该口令后,下次登录时需要还原成明文,因此,在这种情况下,不可用不可逆的加密算法,而需要使用对称加密算法或者非对称加密算法,一般也不建议采用非对称加密算法。

推荐的对称加密算法:AES128、AES192、AES256。

场景 2:后台服务端保存用户的登录口令

在该场景下,一般情况是:客户端提交用户名及用户口令,后台服务端对用户名及用户口令进行验证,然后返回验证的结果。此时,在后台服务端,用户口令可以不需要还原,因此建议使用不可逆的加密算法,对“用户名+口令”字符串进行加密。

推荐的不可逆加密算法: SHA256、SHA384、SHA512,HMAC-SHA256、HMAC-SHA384、HMAC-SHA512。

规则:禁止在日志中记录明文的敏感数据。

说明:禁止在日志中记录明文的敏感数据(如口令、会话标识jsessionid等), 防止敏感信息泄漏。

规则:禁止带有敏感数据的Web页面缓存。

说明:带有敏感数据的Web页面都应该禁止缓存,以防止敏感信息泄漏或通过代理服务器上网的用户数据互窜问题。

实施指导:

在HTML页面的标签内加入如下代码:

在JSP页面的最前面加入如下代码:

<%

(\"Cache-Control\

(\"Pragma\

(\"Expires\

%>

注意:以上代码对于采用强制缓存策略的代理服务器不生效(代理服务器默认是不缓存的),要防止代理服务器缓存页面,可以在链接后加入一个随机数pageid,此时链接变成:, 其中2245562数字是随机生成的,每次请求此页面时,随机数都不同,IE始终认为此为一个

新请求,并重新解析,生成新的响应页面。

敏感数据传输

规则:带有敏感数据的表单必须使用 HTTP-POST 方法提交。

说明:禁止使用 HTTP-GET 方法提交带有敏感数据的表单(form),因为该方法使用查询字符串传递表单数据,易被查看、篡改。如果是使用servlet处理提交的表单数据,那么不在doGet方法中处理,只在doPost方法处理。

实施指导:

1. 对于JSP页面,将表单的属性method赋值为\"post\",如下

2. 如果是使用servlet处理提交的表单数据,那么只在doPost方法中处理,参考代码如下

public class ValidationServlet extends HttpServlet

{

public void doPost(HttpServletRequest request, HttpServletResponse response)

throws IOException, ServletException

{

SSL的配置请参考《附件1 Tomcat配置SSL指导》。

2. Web应用中,从https切换到http过程中会丢失session,无法保持会话的连续。解决的办法就是用http-https-http过程代替https-http过程,保证会话的连续性。原因:当https请求转为http请求的时候,因为原先的session的secure属性值是true,无法再http协议中传输,因此,系统生成新的session,且新的session没有继承旧session的属性和值,因此,无法保持会话连续。而http-https-http这个过程,session始终不变,因此,可以保持会话连

规则:禁止在URL中携带会话标识(如jsessionid)。

说明:由于浏览器会保存URL历史记录,如果URL中携带会话标识,则在多人共用的PC上会话标识容易被其他人看到,一旦该会话标识还在其生命有效期,则恶意用户可以冒充受害用户访问Web应用系统。

规则:禁止将对用户保密的信息传送到客户端。

说明:这些信息一旦传送到客户端,那么用户也就可以获取到了。

安全审计

本节的安全审计是针对Web业务应用,不包括对操作系统、Web容器的安全审计。对于操作系统和Web容器的安全审计,可以参考对应的操作系统安全基线和Web安全配置规范。

规则:应用服务器必须对安全事件及操作事件进行日志记录。

说明:安全事件包括登录、注销、添加、删除、修改用户、授权、取消权限、鉴权、修改用户口令等;操作事件包括对业务系统配置参数的修改,对重要业务数据的创建、删除、修改、查询等;对于上述事件的结果,不管是成功还是失败,都需要记录日志。

规则:安全日志必须包括但不限于如下内容:事件发生的时间、事件类型、客户端IP、客

户端机器名、当前用户的标识、受影响的个体(数据、资源)、成功或失败标识、启动该事件的进程标识以及对该事件的详细描述。

规则:严格限制对安全日志的访问。

说明:只有Web应用程序的管理员才能查询数据库表形式或文件形式的安全日志;除数据库超级管理员外,只有应用程序连接数据库的帐号可以查询(select)及插入(insert)安全日志表;除操作系统超级管理员外,只有应用程序的运行帐户才能读、写文件形式的安全日志(但不允许删除)。确保日志的安全,限制对日志的访问,这加大了攻击者篡改日志文件以掩饰其攻击行为的难度。

规则:对日志模块占用资源必须有相应的限制机制。

说明:限制日志模块占用的资源,以防止如自动的恶意登陆尝试导致的资源枯竭类DOS攻击;比如限制日志记录占用的磁盘空间。

规则:禁止日志文件和操作系统存储在同一个分区中,同时,应使用转储、滚动、轮循机制,来防止存储日志的分区写满。

说明:所需空间和具体业务、局点容量、日志保存周期相关,要根据实际情况估算。

建议:安全日志应该有备份及清理机制。

说明:备份及清理机制包括定期备份及清理安全日志和监控用于存放安全日志的磁盘空间的使用情况。可以配置定期备份及清理的时间,可以配置以用于存放安全日志的磁盘空间使用率达到多少时进行备份及清理。

建议:通过网络形式保存安全日志。

说明:在生成安全日志时,即时将日志保存到网络上其他主机,而且生成安全日志的应用程序不能再访问存放在其他主机的日志。

Web Service

规则:对Web Service接口的调用必须进行认证。

说明:认证就是确定谁在调用Web Service,并且证实调用者身份。

实施指导:

可以通过在消息头中增加用户名和口令,作为认证凭据;

对于安全性要求不高、只向同一信任域内其他主机开放的Web Service接口,可以通过简单的IP认证来实现接口的认证(只有服务器端指定IP地址的客户端才允许调用,IP地址可配置)。

规则:如果调用者的权限各不相同,那么必须对Web Service接口的调用进行鉴权。

说明:鉴权就是判断调用者是否有权限调用该Web Service接口。

实施指导:

可以通过Axis的handler对调用进行鉴权。

规则:通过Web Service接口传递敏感数据时,必须保障其机密性。

实施指导:

方案1:请参考《附件2 Web Service 安全接入开发指导》。

方案2:采用https安全协议。

规则:通过Web Service接口传递重要的交易数据时,必须保障其完整性和不可抵赖性。

说明:重要的交易数据,如转账时涉及的“转入账号”、“转出账号”、“金额”等。

实施指导:

请参考《附件2 Web Service 安全接入开发指导》。

规则:如果Web Service只对特定的IP开放,那么必须对调用Web Service接口的客户端IP进行鉴权,只有在IP地址白名单中的客户端才允许调用,IP地址白名单可配置。

实施指导:请参考《附件3客户端IP鉴权实施指导》。

规则:对Web Service接口调用进行日志记录。

说明:日志内容包括但不限于如下内容:调用时间、操作类型、调用接口名称、详细的接口参数、客户端IP、客户端机器名、调用者的用户标识、受影响的个体(数据、资源)、成功或失败标识。

规则:必须对Web Service提交的参数进行输入校验。

说明:具体输入校验部分请查看输入校验。

RESTful Web Service

RESTful Web Service(也称为 RESTful Web API)是一个使用HTTP并遵循REST原则的Web服务。

规则:对RESTful Web Service的调用必须进行认证。

说明:认证就是确定谁在调用RESTful Web Service,并且证实调用者身份。

实施指导:

客户端发起的Restful请求需要在消息头带Authorization字段,内容填Basic Base64(user:pass),服务端对user和passwd进行认证。

注意:user和pass必须加密保存在配置文件或数据库中,不能写死在代码中;传输时采用https安全协议。

对于安全性要求不高、只向同一信任域内其他主机开放的Web Service接口,可以通过简单的IP认证来实现接口的认证(只有服务器端指定IP地址的客户端才允许调用,IP地址可配置)。

规则:如果调用者的权限各不相同,那么必须对RESTful Web Service的调用进行鉴权。

说明:鉴权就是判断调用者是否有权限调用该RESTful Web Service。

规则:通过RESTful Web Service传递敏感数据时,必须保障其机密性。

实施指导:

采用https安全协议。

规则:如果RESTful Web Service只对特定的IP开放,那么必须对调用RESTful Web Service的客户端IP进行鉴权,只有在IP地址白名单中的客户端才允许调用,IP地址白名单可配置。

实施指导:

请参考《附件3客户端IP鉴权实施指导》。

规则:对RESTful Web Service调用进行日志记录。

说明:日志内容包括但不限于如下内容:调用时间、操作类型、调用接口名称、详细的接口参数、客户端IP、客户端机器名、调用者的用户标识、受影响的个体(数据、资源)、成功或失败标识。

规则:必须对RESTful Web Service提交的参数进行输入校验。

说明:具体输入校验部分请查看输入校验。

DWR

DWR(Direct Web Remoting)是一种Java 和JavaScript 相结合的开源框架,可以帮助开发人员更容易地完成应用Ajax 技术的Web 应用程序,让浏览器上的JavaScript 方法调用运行在Web 服务器上的Java 方法。

规则:关闭DWR 调试功能。

说明:如果开启了DWR调试功能,那么攻击者可以轻易查看和调用系统提供的所有DWR接口,所以,版本发布时,一定要关闭DWR调试功能。

实施指导:

修改对应的文件中的debug参数值为false:

dwr-invoker

debug

false

......

规则:对DWR接口的调用必须进行认证。

说明:认证就是确定谁在调用DWR接口,并且证实调用者身份。

实施指导:

对于DWR接口的认证直接沿用认证机制,不用单独再做认证。

规则:对DWR接口的调用必须进行鉴权。

说明:鉴权就是判断调用者是否有权限调用该DWR接口。

实施指导:

DWR的请求和普通的Web请求一样,都可以通过过滤器来鉴权,对于DWR接口的鉴权直接沿用规则的鉴权机制,具体实现参照规则的实施指导。

规则:必须对DWR提交的参数进行输入校验。

说明:具体输入校验部分请查看输入校验。

4 Web编程安全规范

输入校验

规则:必须对所有用户产生的输入进行校验,一旦数据不合法,应该告知用户输入非法并且建议用户纠正输入。

说明:用户产生的输入是指来自text、password、textareas或file表单域的数据;必须假定所有用户产生的输入都是不可信的,并对它们进行合法性校验。

规则:必须对所有服务器产生的输入进行校验,一旦数据不合法,必须使会话失效,并记录告警日志。

说明:服务器产生的输入是指除用户产生的输入以外的输入,例如来自hidden fields、selection boxes、check boxes、radio buttons、cookies、HTTP headers、热点链接包含的URL参数的数据或客户端脚本等;必须假定所有服务器产生的输入都是被篡改过的、恶意的,并对它们进行合法性校验,如果不合法,说明有人恶意篡改数据。举例:假如用户资料填写表单中的“性别”为必填项,用radio button(‘男’和‘女’对应实际值分别为‘1’和‘0’)来限制用户的输入,如果应用程序收到的“性别”值为‘2’,那么可以断定有人恶意篡改数据。

规则:禁止将HTTP标题头中的任何未加密信息作为安全决策依据。

说明:HTTP 标题头是在 HTTP 请求和 HTTP 响应的开始阶段发送的。Web 应用程序必须确保不以 HTTP 标题头中的任何未加密信息作为安全决策依据,因为攻击者要操作这一标题头是很容易的。例如,标题头中的 referer 字段包含来自请求源端的 Web 页面的 URL。不要根据 referer 字段的值做出任何安全决策(如检查请求是否来源于 Web 应用程序生成的页面),因为该字段是很容易被伪造的。

规则:不能依赖于客户端校验,必须使用服务端代码对输入数据进行最终校验。

说明:客户端的校验只能作为辅助手段,减少客户端和服务端的信息交互次数。

规则:对于在客户端已经做了输入校验,在服务器端再次以相同的规则进行校验时,一旦数据不合法,必须使会话失效,并记录告警日志。

说明:肯定存在攻击行为,攻击者绕过了客户端的输入校验,因此必须使会话失效,并记入告警日志。

规则:如果输入为数字参数则必须进行数字型判断。

说明:这里的数字参数指的是完全由数字组成的数据。

实施指导:

String mobileno = (\"mobileno\");

String characterPattern = \"^\\\\d+$\"; +[a-zA-Z]{2,4}$\"; ....

XPathExpression expr = (\"....}

规则:在JavaBean中禁止使用property=\"*\"进行参数赋值。

说明:property=\"*\"这表明用户在可见的JSP页面中输入的,或是直接通过Query String提交的参数值,将存储到与参数名相匹配的bean属性中。例如,网上购物程序,一般,用户是这样提交请求的: /newItem=ITEM0105342,如果用户提交: /newItem=ITEM0105342&balance=0,这样,balance=0的信息就被在存储到了JavaBean中了,而balance是整个会话中用来存储总费用的,当他们这时点击“chekout”结账的时候,费用就全免了。

规则:用于重定向的输入参数不能包含回车和换行字符,以防止HTTP响应拆分攻击。

说明:注意,“回车”字符有多种表示方式(CR = %0d = \\r ),“换行”字符有多种表示方式(LF = %0a = \\n)。

规则:如果服务端代码执行操作系统命令,禁止从客户端获取命令。

说明:如果服务端代码中使用().exec(cmd)或ProcessBuilder等执行操作系统命令,那么禁止从客户端获取命令;而且最好不要从客户端获取命令的参数,如果必须从客户获取命令的参数,那么必须采用正则表达式对命令参数进行严格的校验,以防止命令注入(因为,一旦从客户端获取命令或参数,通过;&|<>符号,非常容易构造命令注入,危害系统)。

输出编码

规则:对于不可信的数据,输出到客户端前必须先进行HTML编码。

说明:不可信的数据(也就是其他业务系统生成的未经本应用程序验证的表数据或文件数据),通过对输出到客户端的数据进行编码,可以防止浏览器将 HTML 视为可执行脚本,从而防止跨站脚本攻击。

实施指导:

JSP语言可以通过替换输出数据的特殊字符【& < > ” ’ ( )%+-】为其他表示形式后再输出给客户端,例如:

<%

String OutStr = \"\";

OutStr = (\"&\

OutStr = (\"<\

OutStr = (\">\

OutStr = (\"\\\"\

OutStr = (\"\\'\

OutStr = (\"\\\\(\

OutStr = (\"\\\\)\

(OutStr);

%>

语言可以通过HtmlEncode方法对 HTML 的输出进行编码。

PHP语言可以通过htmlentities或htmlspecialchars方法对HTML输出进行编码。

上传下载

规则:必须在服务器端采用白名单方式对上传或下载的文件类型、大小进行严格的限制。

规则:禁止以用户提交的数据作为读/写/上传/下载文件的路径或文件名,以防止目录跨越和不安全直接对象引用攻击。

说明:建议对写/上传文件的路径或文件名采用随机方式生成,或将写/上传文件放置在有适当访问许可的专门目录。对读/下载文件采用映射表(例如,用户提交的读文件参数为1,则读取file1,参数为2,则读取file2)。防止恶意用户构造路径和文件名,实施目录跨越和不安全直接对象引用攻击。

规则:禁止将敏感文件(如日志文件、配置文件、数据库文件等)存放在Web内容目录下。

说明:Web内容目录指的是:通过Web可以直接浏览、访问的目录,存放在Web内容目录下的文件容易被攻击者直接下载。

异常处理

规则:应用程序出现异常时,禁止向客户端暴露不必要的信息,只能向客户端返回一般性的错误提示消息。

说明:应用程序出现异常时,禁止将数据库版本、数据库结构、操作系统版本、堆栈跟踪、文件名和路径信息、SQL 查询字符串等对攻击者有用的信息返回给客户端。建议重定向到一个统一、默认的错误提示页面,进行信息过滤。

规则:应用程序捕获异常,并在日志中记录详细的错误信息。

说明:记录详细的错误消息,可供入侵检测及问题定位。

代码注释

规则:在注释信息中禁止包含物理路径信息。

规则:在注释信息中禁止包含数据库连接信息。

规则:在注释信息中禁止包含SQL语句信息。

规则:对于静态页面,在注释信息中禁止包含源代码信息。

规则:对于动态页面不使用普通注释,只使用隐藏注释。

说明:动态页面包括ASP、PHP、JSP、CGI等由动态语言生成的页面。通过浏览器查看源码的功能,能够查看动态页面中的普通注释信息,但看不到隐藏注释(隐藏注释不会发送给

客户端)。因此,为了减少信息泄漏,建议只使用隐藏注释。

实施指导:

<%--隐藏注释1--%>

<%

ak之类的文件,Web服务器会将这些文件以文本方式呈现给恶意用户,造成代码的泄漏,严重威胁Web应用的安全。

实施指导:

在web应用的根目录下执行以下命令:

find ./ -name \"*.old\" -o -name \"*.OLD\" -o -name \"*.bak\" -o -name \"*.BAK\" -o -name \"*.temp\" -o -name \"*.tmp\" -o -name \"*.save\" -o -name \"*.backup\" -o -name \"*.orig\" -o -name \"*.000\" -o -name \"*~\" -o -name \"*~1\" -o -name \"*.dwt\" -o -name \"*.tpl\" -o -name \"*.zip\" -o -name \"*.7z\" -o -name \"*.rar\" -o -name \"*.gz\" -o -name \"*.tgz\" -o -name \"*.tar\" -o -name \"*.bz2\"

分析查找到的文件是否临时文件、备份文件、无用文件,如果是则删除。

规则:归档的页面程序文件的扩展名必须使用小写字母。

说明:很多Web server对大小写是敏感的,但对后缀的大小写映像并没有做正确的处理。攻击者只要在URL中将JSP文件后缀从小写变成大写,Web服务器就不能正确处理这个文件后缀,而将其当作纯文本显示。攻击者可以通过查看源码获得这些程序的源代码。因此,归档的页面程序文件的扩展名必须使用小写字母,如jsp、html、htm、asp等页面程序文件的扩展名分别为jsp、html、htm、asp。

规则:归档的程序文件中禁止保留调试用的代码。

说明:这里的“调试用的代码”是指开发过程中进行临时调试所用的、在Web应用运行过程中不需要使用到的Web页面代码或servlet代码。例如:在代码开发过程中为了测试一个添加帐号的功能,开发人员临时编写了一个JSP页面进行测试,那么在归档时,该JSP页面必须删除,以免被攻击者利用。

其他

规则:对于JSP语言,所有servlet必须进行静态映射,不允许通过绝对路径访问。

说明:在文件中为servlet配置URI映射,使用servlet时,引用它的URI映射,而不允许通过绝对路径访问。

规则:对客户端提交的表单请求进行合法性校验,防止跨站请求伪造攻击。

说明:跨站请求伪造(CSRF)是一种挟制终端用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。攻击者可以迫使用户去执行攻击者预先设置的操作,例如,如果用户登录网络银行去查看其存款余额,他没有退出网络银行系统就去了自己喜欢的论坛去灌水,如果攻击者在论坛中精心构造了一个恶意的链接并诱使该用户点击了该链接,那么

该用户在网络银行帐户中的资金就有可能被转移到攻击者指定的帐户中。当CSRF针对普通用户发动攻击时,将对终端用户的数据和操作指令构成严重的威胁;当受攻击的终端用户具有管理员帐户的时候,CSRF攻击将危及整个Web应用程序。

实施指导:

方法一:为每个session创建唯一的随机字符串,并在受理请求时验证

>

......

etAttribute(\"randomStr\")))

{nnerHtml时,如果只是要显示文本内容,必须在innerHTML取得内容后,再用正则表达式去除HTML标签,以预防跨站脚本。

说明:使用.innerHtml会将内容以HTML显示,容易被利用,导致跨站脚本。

实施指导:

/gim,''))\">无HTML,符合W3C标准

备注:还可以使用.innerText代替.innerHtml,.innerText只显示文本内容不显示HTML标签,但.innerText不是W3C标准的属性,不能适用于所有浏览器(但适用于IE浏览器)。

规则:禁止使用eval()函数来处理用户提交的字符串。

说明:eval()函数存在安全隐患,该函数可以把输入的字符串当作JavaScript表达式执行,容易被恶意用户利用。

建议:关闭登录窗体表单中的自动填充功能,以防止浏览器记录用户名和口令。

说明:浏览器都具有自动保存用户输入数据和自动填充数据的能力。为了保障用户名和口令的安全,必须关闭自动填充选项,指示浏览器不要存储登录窗口中用户名、口令等敏感信息。

实施指导:

在form表单头中增加选项(autocomplete=\"off\"),例如:

建议:防止网页被框架盗链或者点击劫持。

说明:框架盗链和点击劫持(ClickJacking)都利用到框架技术,防范措施就是防止网页被框架。

实施指导:

方法一:在每个网页上增加如下脚本来禁止iframe嵌套:

<

方法二:

向电信软件与核心网网络安全工程部申请WAF CBB,并部署到应用中,启用AntiClickjackMode功能,具体方法参考WAF CBB的用户手册。

PHP

规则:禁止使用phpinfo()。

说明:phpinfo()函数提供了详细的服务器PHP环境配置信息,是PHP提供的一个比较方便的排错工具。但是往往因为开发人员的一时疏忽,把带有phpinfo()的页面部署到生产环境上,

造成严重的信息泄露,给潜在攻击者提供了很大的便利。因此在生产环境中应禁止使用phpinfo()函数,以避免不必要的安全隐患。

实施指导:

修改文件中的disable_functions配置项,把“phpinfo”添加到清单中:

disable_functions=phpinfo

备注:如果要禁用多个函数,函数名之间用逗号隔开。

规则:避免使用eval()、exec()、passthru()、popen()、proc_open()、system()、shell_exec()、pcntl_exec(),如非得使用,必须对输入参数进行严格的输入校验(如:长度、范围、类型校验),并使用escapeshellcmd() 、escapeshellarg()函数对其参数进行转义处理。

说明:这些是PHP用于调用底层系统命令的函数,如对其参数过滤不严,将容易导致“系统命令执行”漏洞,使黑客轻易地执行系统命令并获得服务器的shell权限。另外所谓的

webshell会通过这些函数跟底层系统进行交互,因此关闭这些函数可有效地降低webshell的安全威胁。

实施指导:

1、当不使用这些函数时,需通过disable_functions配置项禁止这些函数的使用:

修改文件中的disable_functions配置项,把要禁用的函数添加到disable_functions参数值中,多个函数,用逗号分开,例如:disable_functions=phpinfo,get_cfg_var,eval,exec,passthru,popen,proc_open,system,shell_exec,pcntl_exec

2、当使用这些函数时,应使用escapeshellcmd()或escapeshellarg()对其参数进行过滤。

escapeshellcmd():

$command = './configure '.$_POST['configure_options'];

$escaped_command = escapeshellcmd($command);

system($escaped_command);

>

escapeshellarg():

system('ls ' . escapeshellarg($dir));

>

规则:在使用include()、include_once()、require()、require_once()、show_source()、highlight_file()、readfile()、file_get_contents()、fopen()、file()等文件读取函数时,应对参数进行严格的合规性检查,避免直接使用客户端输入作为参数,必要时应进行白名单限制。

说明:对这些函数的参数检查不严会很容易导致远程命令执行漏洞,给系统带来不必要的安全隐患。

实施指导:

$lang = preg_replace('/[^a-zA-Z0-9_]/', '', $_GET['lang']);

switch ($lang):

case “en” :

include(“”);

case “cn”:

include(“”);

default:

include(“”);

endswitch;

建议:避免使用preg_replace()函数。当使用/e修饰符,preg_replace会将 replacement

参数当作 PHP 代码执行,如使用不当将容易引入漏洞,建议使用preg_match()替代。

规则:明确使用$_GET、$_POST、$_COOKIE而不是$_REQUEST获取用户请求数据,这有助于降低漏洞被成功利用的概率。

5 Web安全配置规范

根据Web应用所选用的Web容器,按照相应的配置规范进行安全配置,当前可供使用的安全配置规范如下:

表3 Web容器安全配置规范列表

规范名称

IIS 安全配置规范

Apache 安全配置规范

Tomcat 安全配置规范

JBoss 安全配置规范

Resin 安全配置规范

WebLogic安全配置规范

6 配套CBB介绍

WAF CBB

提供功能:

1) 防范CSRF(跨站请求伪造)攻击

2) 防范XSS攻击

3) 防范MML注入

4) 防范目录遍历/路径遍历

5) 防范字符串型的SQL注入攻击(绝大部分的SQL注入为字符串型的)

6) 防范空字符注入

7) 防范点击劫持

8) 防范HTTP会话劫持

9) 防范功能可配置(也就是可以通过配置项开启或关闭对应的防范功能)

10) URI白名单功能,允许配置免检的URI。

11) 输入校验:可以为各输入参数配置输入校验规则(正则表达式),在服务器端实现严格的输入校验。

获取方法:

WAF CBB

支持人员:

何伟祥(00162822)

验证码CBB

提供功能:

实现了“验证码”的要求。

获取方法:

验证码CBB

支持人员:

何伟祥(00162822)

7 附件

附件1 Tomcat配置SSL指导

附件2 Web Service 安全接入开发指导

附件3 客户端IP鉴权实施指导

附件4 口令安全要求

附件5 Web权限管理设计规格说明书

因篇幅问题不能全部显示,请点此查看更多更全内容

Top