【正文】 ...................................................................366 配套CBB介紹 ........................................................................................................................37 WAF CBB...............................................................................................................................37 驗(yàn)證碼CBB .............................................................................................................................387 附件 .........................................................................................................................................38 附件1 TOMCAT配置SSL指導(dǎo) ................................................................................................38 附件2 WEB SERVICE 安全接入開發(fā)指導(dǎo) .............................................................................38 附件3 客戶端IP 鑒權(quán)實(shí)施指導(dǎo) .............................................................................................38 附件4 口令安全要求 .............................................................................................................38 附件5 WEB權(quán)限管理設(shè)計(jì)規(guī)格說(shuō)明書 ..................................................................................397 / 37Web 應(yīng)用安全開發(fā)規(guī)范 1 概述 背景簡(jiǎn)介在 Inter 大眾化及 Web 技術(shù)飛速演變的今天，Web 安全所面臨的挑戰(zhàn)日益嚴(yán)峻。黑客攻擊技術(shù)越來(lái)越成熟和大眾化，針對(duì) Web 的攻擊和破壞不斷增長(zhǎng)， Web 安全風(fēng)險(xiǎn)達(dá)到了前所未有的高度。許多程序員不知道如何開發(fā)安全的應(yīng)用程序，開發(fā)出來(lái)的 Web 應(yīng)用存在較多的安全漏洞，這些安全漏洞一旦被黑客利用將導(dǎo)致嚴(yán)重甚至是災(zāi)難性的后果。這并非危言聳聽，類似的網(wǎng)上事故舉不勝舉，公司的 Web 產(chǎn)品也曾多次遭黑客攻擊，甚至有黑客利用公司 Web產(chǎn)品的漏洞敲詐運(yùn)營(yíng)商，造成極其惡劣的影響。本規(guī)范就是提供一套完善的、系統(tǒng)化的、實(shí)用的 Web 安全開發(fā)方法供 Web 研發(fā)人員使用，以期達(dá)到提高 Web 安全的目的。本規(guī)范主要包括三大內(nèi)容： Web 設(shè)計(jì)安全、Web編程安全、Web 配置安全，配套 CBB，多管齊下，實(shí)現(xiàn) Web 應(yīng)用的整體安全性；本規(guī)范主要以 JSP/Java 編程語(yǔ)言為例。 技術(shù)框架8 / 37圖 1 典型的 Web 安全技術(shù)框架圖 1 顯示了典型的 Web 安全的技術(shù)框架和安全技術(shù)點(diǎn)，這些安全技術(shù)點(diǎn)，貫穿整個(gè)Web 設(shè)計(jì)開發(fā)過(guò)程。上圖各個(gè)區(qū)域中存在任何一點(diǎn)薄弱環(huán)節(jié)，都容易導(dǎo)致安全漏洞。由于 HTTP 的開放性，Web 應(yīng)用程序必須能夠通過(guò)某種形式的身份驗(yàn)證來(lái)識(shí)別用戶，并確保身份驗(yàn)證過(guò)程是安全的，同樣必須很好地保護(hù)用于跟蹤已驗(yàn)證用戶的會(huì)話處理機(jī)制。為了防止一些惡意輸入，還要對(duì)輸入的數(shù)據(jù)和參數(shù)進(jìn)行校驗(yàn)。另外還要考慮 Web 系統(tǒng)的安全配置，敏感數(shù)據(jù)的保護(hù)和用戶的權(quán)限管理，以及所有操作的安全審計(jì)。當(dāng)然還要考慮代碼安全，以及其他方面的威脅。表 1 列出了一些 Web 缺陷類別，并針對(duì)每類缺陷列出了由于設(shè)計(jì)不當(dāng)可能會(huì)導(dǎo)致的潛在問題。針對(duì)這些潛在的問題，本規(guī)范中有相應(yīng)的解決措施。表 1 Web 應(yīng)用程序缺陷和由于不良設(shè)計(jì)可能導(dǎo)致的問題缺陷類別 由于不良設(shè)計(jì)可能導(dǎo)致的問題身份驗(yàn)證 身份偽造、口令破解、權(quán)限提升和未授權(quán)訪問。會(huì)話管理 通過(guò)捕獲導(dǎo)致會(huì)話劫持和會(huì)話偽造。權(quán)限管理 訪問機(jī)密或受限數(shù)據(jù)、篡改和執(zhí)行未授權(quán)操作。配置管理 未授權(quán)訪問管理界面、更新配置數(shù)據(jù)、訪問用戶帳戶和帳戶配置文件。敏感數(shù)據(jù) 機(jī)密信息泄漏和數(shù)據(jù)篡改。加密技術(shù) 未授權(quán)訪問機(jī)密數(shù)據(jù)或帳戶信息。安全審計(jì) 未能識(shí)別入侵征兆、無(wú)法證明用戶的操作，以及在問題診斷中存在困難。輸入檢驗(yàn)通過(guò)嵌入查詢字符串、窗體字段、Cookie 和 HTTP 標(biāo)頭中的惡意字符串所執(zhí)行的攻擊。包括命令執(zhí)行、跨站點(diǎn)腳本編寫 (XSS)、SQL 注入和緩沖區(qū)溢出攻擊等。參數(shù)操作 路徑遍歷攻擊、命令執(zhí)行、此外還有跳過(guò)訪問控制機(jī)制、導(dǎo)致信息泄露、權(quán)限提升和拒絕服務(wù)。異常管理 拒絕服務(wù)和敏感的系統(tǒng)級(jí)詳細(xì)信息泄露。 使用對(duì)象本規(guī)范的讀者及使用對(duì)象主要為 Web 相關(guān)的需求分析人員、設(shè)計(jì)人員、開發(fā)人員、測(cè)試人員等。 適用范圍本規(guī)范的制定考慮了公司各種 Web 應(yīng)用開發(fā)的共性，適合于公司絕大部分 Web 產(chǎn)品，要求 Web 產(chǎn)品開發(fā)必須遵循。對(duì)于嵌入式系統(tǒng)（如 ADSL Modem、硬件防火墻）中的 Web 應(yīng)用，由于其特殊性9 / 37（CPU、內(nèi)存、磁盤容量有限，沒有成熟的 Web 容器），不強(qiáng)制遵循本規(guī)范的所有內(nèi)容，只需遵循以下章節(jié)的規(guī)則要求： 身份驗(yàn)證 會(huì)話管理 敏感數(shù)據(jù)保護(hù) 輸入校驗(yàn) 輸出編碼 上傳下載 代碼注釋 歸檔要求 用詞約定? 規(guī)則：強(qiáng)制必須遵守的原則? 建議：需要加以考慮的原則? 說(shuō)明：對(duì)此規(guī)則或建議進(jìn)行相應(yīng)的解釋? 實(shí)施指導(dǎo)：對(duì)此規(guī)則或建議的實(shí)施進(jìn)行相應(yīng)的指導(dǎo)2 常見 Web 安全漏洞Web 應(yīng)用的安全漏洞有很多，無(wú)法窮舉。針對(duì)眾多的 Web 漏洞，OWASP 的專家們結(jié)合各自在各領(lǐng)域的應(yīng)用安全工作經(jīng)驗(yàn)及智慧，提出了十大 Web 應(yīng)用程序安全漏洞，幫助人們關(guān)注最嚴(yán)重的漏洞。（OWASP 即開放 Web 應(yīng)用安全項(xiàng)目，是一個(gè)旨在幫助人們理解和提高 Web應(yīng)用及服務(wù)安全性的項(xiàng)目組織。）表 2 十大 Web 應(yīng)用程序安全漏洞列表序號(hào) 漏洞名稱 漏洞描述1 注入 注入攻擊漏洞，例如 SQL、OS 命令以及 LDAP 注入。這些攻擊發(fā)生在當(dāng)不可信的數(shù)據(jù)作為命令或者查詢語(yǔ)句的一部分，被發(fā)送給解釋器的時(shí)候。攻擊者發(fā)送的惡意數(shù)據(jù)可以欺騙解釋器，以執(zhí)行計(jì)劃外的命令或者訪問未被授權(quán)的數(shù)據(jù)。2 跨站腳本 當(dāng)應(yīng)用程序收到含有不可信的數(shù)據(jù)，在沒有進(jìn)行適當(dāng)?shù)尿?yàn)證和轉(zhuǎn)義的情況下，10 / 37就將它發(fā)送給一個(gè)網(wǎng)頁(yè)瀏覽器，這就會(huì)產(chǎn)生跨站腳本攻擊（簡(jiǎn)稱 XSS）。XSS 允許攻擊者在受害者的瀏覽器上執(zhí)行腳本，從而劫持用戶會(huì)話、危害網(wǎng)站、或者將用戶轉(zhuǎn)向至惡意網(wǎng)站。3 失效的身份認(rèn)證和會(huì)話管理與身份認(rèn)證和會(huì)話管理相關(guān)的應(yīng)用程序功能往往得不到正確的實(shí)現(xiàn)，這就導(dǎo)致了攻擊者破壞密碼、密匙、會(huì)話令牌或攻擊其他的漏洞去冒充其他用戶的身份。4 不安全的直接對(duì)象引用當(dāng)開發(fā)人員暴露一個(gè)對(duì)內(nèi)部實(shí)現(xiàn)對(duì)象的引用時(shí)，例如，一個(gè)文件、目錄或者數(shù)據(jù)庫(kù)密匙，就會(huì)產(chǎn)生一個(gè)不安全的直接對(duì)象引用。在沒有訪問控制檢測(cè)或其他保護(hù)時(shí)，攻擊者會(huì)操控這些引用去訪問未授權(quán)數(shù)據(jù)。5 跨站請(qǐng)求偽造 一個(gè)跨站請(qǐng)求偽造攻擊迫使登錄用戶的瀏覽器將偽造的 HTTP 請(qǐng)求，包括該用戶的會(huì)話 cookie 和其他認(rèn)證信息，發(fā)送到一個(gè)存在漏洞的 Web 應(yīng)用程序。這就允許了攻擊者迫使用戶瀏覽器向存在漏洞的應(yīng)用程序發(fā)送請(qǐng)求，而這些請(qǐng)求會(huì)被應(yīng)用程序認(rèn)為是用戶的合法請(qǐng)求。6 安全配置錯(cuò)誤 好的安全需要對(duì)應(yīng)用程序、框架、應(yīng)用程序服務(wù)器、Web 服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器和平臺(tái)，定義和執(zhí)行安全配置。由于許多設(shè)置的默認(rèn)值并不是安全的，因此，必須定義、實(shí)施和維護(hù)所有這些設(shè)置。這包括了對(duì)所有的軟件保護(hù)及時(shí)地更新，包括所有應(yīng)用程序的庫(kù)文件。7 失敗的 URL 訪問權(quán)限限制許多 Web 應(yīng)用程序在顯示受保護(hù)的鏈接和按鈕之前會(huì)檢測(cè) URL 訪問權(quán)限。但是，當(dāng)這些頁(yè)面被訪問時(shí)，應(yīng)用程序也需要執(zhí)行類似的訪問控制檢測(cè)，否則攻擊者將可以偽裝這些 URL 去訪問隱藏的網(wǎng)頁(yè)。8 未經(jīng)驗(yàn)證的重定向和前轉(zhuǎn)Web 應(yīng)用程序經(jīng)常將用戶重定向和前轉(zhuǎn)到其他網(wǎng)頁(yè)和網(wǎng)站，并且利用不可信的數(shù)據(jù)去判定目的頁(yè)面。如果沒有得到適當(dāng)驗(yàn)證，攻擊者可以將受害用戶重定向到釣魚網(wǎng)站或惡意網(wǎng)站，或者使用前轉(zhuǎn)去訪問未經(jīng)授權(quán)的網(wǎng)頁(yè)。9 不安全的加密存儲(chǔ)許多 Web 應(yīng)用程序并沒有使用恰當(dāng)?shù)募用艽胧┗?Hash 算法保護(hù)敏感數(shù)據(jù)，比如信用卡、社會(huì)安全號(hào)碼（SSN）、認(rèn)證憑據(jù)等。攻擊者可能利用這種弱保護(hù)數(shù)據(jù)實(shí)行身份盜竊、信用卡欺騙或或其他犯罪。10 傳輸層保護(hù)不足 應(yīng)用程序時(shí)常沒有身份認(rèn)證、加密措施，甚至沒有保護(hù)敏感網(wǎng)絡(luò)數(shù)據(jù)的保密性和完整性。而當(dāng)進(jìn)行保護(hù)時(shí)，應(yīng)用程序有時(shí)采用弱算法、使用過(guò)期或無(wú)效的證書，或不正確地使用這些技術(shù)。11 / 373 Web 設(shè)計(jì)安全規(guī)范 Web 部署要求規(guī)則 ：如果 Web 應(yīng)用對(duì) Inter 開放，Web 服務(wù)器應(yīng)當(dāng)置于 DMZ 區(qū)，在 Web 服務(wù)器與 Inter 之間， Web 服務(wù)器與內(nèi)網(wǎng)之間應(yīng)當(dāng)有防火墻隔離，并設(shè)置合理的策略。規(guī)則 ：如果 Web 應(yīng)用對(duì) Inter 開放，Web 服務(wù)器應(yīng)該部署在其專用的服務(wù)器上，應(yīng)避免將數(shù)據(jù)庫(kù)服務(wù)器或其他核心應(yīng)用與 Web 服務(wù)器部署在同一臺(tái)主機(jī)上。說(shuō)明：Web 服務(wù)器比較容易被攻擊，如果數(shù)據(jù)庫(kù)或核心應(yīng)用與 Web 服務(wù)器部署在同一臺(tái)主機(jī)，一旦 Web 服務(wù)器被攻陷，那么數(shù)據(jù)庫(kù)和核心應(yīng)用也就被攻擊者掌控了。規(guī)則 ：Web 站點(diǎn)的根目錄必須安裝在非系統(tǒng)卷中。說(shuō)明：Web 站點(diǎn)根目錄安裝在非系統(tǒng)卷，如單獨(dú)創(chuàng)建一個(gè)目錄 /home/Web 作為 Web 站點(diǎn)根目錄，能夠防止攻擊者使用目錄遍歷攻擊訪問系統(tǒng)工具和可執(zhí)行文件。建議 ：Web 服務(wù)器與應(yīng)用服務(wù)器需物理分離（即安裝在不同的主機(jī)上），以提高應(yīng)用的安全性。建議 ：如果 Web 應(yīng)用系統(tǒng)存在不同的訪問等級(jí)（如個(gè)人帳號(hào)使用、客戶服務(wù)、管理），那么應(yīng)該通過(guò)不同的 Web 服務(wù)器來(lái)處理來(lái)自不同訪問等級(jí)的請(qǐng)求，而且 Web 應(yīng)用應(yīng)該鑒別請(qǐng)求是否來(lái)自正確的 Web 服務(wù)器。說(shuō)明：這樣便于通過(guò)防火墻的訪問控制策略和 Web 應(yīng)用來(lái)控制不同訪問等級(jí)的訪問，比如通過(guò)防火墻策略控制，只允許內(nèi)網(wǎng)訪問管理 Portal。建議 ：對(duì)于“客戶服務(wù)”和“管理”類的訪問，除了普通的認(rèn)證，還應(yīng)該增加額外的訪問限制。說(shuō)明：額外的訪問限制，可以限制請(qǐng)求來(lái)自企業(yè)內(nèi)網(wǎng)，可以建立 VPN，或采用雙向認(rèn)證的SSL；或采用更簡(jiǎn)單的辦法，通過(guò) IP 地址白名單對(duì)客戶端的 IP 地址進(jìn)行過(guò)濾判斷，實(shí)施參考《附件 3 客戶端 IP 鑒權(quán)實(shí)施指導(dǎo)》。 身份驗(yàn)證 口令關(guān)于 Web 應(yīng)用及容器涉及到的口令，請(qǐng)遵循《產(chǎn)品網(wǎng)絡(luò)安全紅線 》的口令安全要求（詳細(xì)內(nèi)容請(qǐng)見： 附件 4 口令安全要求 .xlsx）。12 / 37 認(rèn)證規(guī)則 ：對(duì)用戶的最終認(rèn)證處理過(guò)程必須放到應(yīng)用服務(wù)器進(jìn)行。說(shuō)明：不允許僅僅通過(guò)腳本或其他形式在客戶端進(jìn)行驗(yàn)證，必須在應(yīng)用服務(wù)器進(jìn)行最終認(rèn)證處理（如果采用集中認(rèn)證，那么對(duì)用戶的最終認(rèn)證就是放在集中認(rèn)證服務(wù)器進(jìn)行）。規(guī)則 ：網(wǎng)頁(yè)上的登錄/認(rèn)證表單必須加入驗(yàn)證碼。說(shuō)明：使用驗(yàn)證碼的目的是為了阻止攻擊者使用自動(dòng)登錄工具連續(xù)嘗試登錄，從而降低被暴力破解的可能。如果覺得驗(yàn)證碼影響用戶體驗(yàn)，那么可以在前 3 次登錄嘗試中不使用驗(yàn)證碼，3 次登錄失敗后必須使用驗(yàn)證碼。驗(yàn)證碼在設(shè)計(jì)上必須要考慮到一些安全因素，以免能被輕易地破解。具體實(shí)現(xiàn)細(xì)節(jié)請(qǐng)查看 驗(yàn)證碼。如圖：圖 2 驗(yàn)證碼實(shí)施指導(dǎo)：建議使用電信軟件與核心網(wǎng)網(wǎng)絡(luò)安全工程部提供的 驗(yàn)證碼 CBB。備注：對(duì)于嵌入式系統(tǒng)，如果實(shí)現(xiàn)驗(yàn)證碼比較困難，可以通過(guò)多次認(rèn)證失敗鎖定客戶端 IP的方式來(lái)防止暴力破解。規(guī)則 ：用戶名、密碼和驗(yàn)證碼必須在同一個(gè)請(qǐng)求中提交給服務(wù)器，必須先判斷驗(yàn)證碼是否正確，只有當(dāng)驗(yàn)證碼檢驗(yàn)通過(guò)后才進(jìn)行用戶名和密碼的檢驗(yàn)，否則直接提示驗(yàn)證碼錯(cuò)誤。說(shuō)明：如果驗(yàn)證碼和用戶名、密碼分開提交，攻擊者就可以繞過(guò)驗(yàn)證碼校驗(yàn)（如：先手工提交正確的驗(yàn)證碼，再通過(guò)程序暴力破解），驗(yàn)證碼就形同虛設(shè)，攻擊者依然可以暴力破解用戶名及口令。規(guī)則 ：所有登錄頁(yè)面的認(rèn)證處理模塊必須統(tǒng)一。說(shuō)明：可以存在多個(gè)登錄頁(yè)面，但是不允許存在多個(gè)可用于處理登錄認(rèn)證請(qǐng)求的模塊，防止不一致的認(rèn)證方式。規(guī)則 ：所有針對(duì)其他第三方開放接口的認(rèn)證處理模塊必須統(tǒng)一。規(guī)則 ：認(rèn)證處理模塊必須對(duì)提交的參數(shù)進(jìn)行合法性檢查。13 / 37說(shuō)明：具體輸入校驗(yàn)部分請(qǐng)查看 輸入校驗(yàn)。規(guī)則 ：認(rèn)證失敗后，不能提示給用戶詳細(xì)以及明確的錯(cuò)誤原因，只能給出一般性的提示。說(shuō)明：可以提示：“用戶名或者口令錯(cuò)誤