【正文】 應(yīng)用系統(tǒng)安全開發(fā)技術(shù)規(guī)范（版本號 ）朗新科技股份有限公司二〇一五年十二月51 / 61更改履歷版本號修改編號更改時間更改的圖表和章節(jié)號更改簡要描述更改人批準(zhǔn)人20131124初稿施偉施偉20151119修改宋月欣陳志明20151130修改宋月欣陳志明2015123修改宋月欣施偉2015123修改施偉注：更改人除形成初稿，以后每次修改在未批準(zhǔn)確認(rèn)前均需采用修訂的方式進行修改。目錄1 背景與目標(biāo) 12 安全編程概念 1 安全編程 1 結(jié)構(gòu)化編程 2 脆弱性 2 可信計算 2 安全可信模塊 3 不可信任模塊 3 敏感信息 3 特權(quán) 3 信息隱藏 3 中間件 3 死鎖 4 可信邊界 4 元字符 4 參數(shù)化查詢 4 UNIX JAIL環(huán)境 4 臨時文件 4 信息熵 5 SSL 5 TLS 5 HTTPS 5 Http會話 5 Cookie 6 HttpOnly Cookie 63 安全編程原則 6 統(tǒng)一的安全規(guī)范 6 模塊劃分 6 最小化功能 7 最小化特權(quán) 7 對多任務(wù)、多進程加以關(guān)注 7 界面輸出最小化 7 使代碼簡單、最小化和易于修改 8 避免高危的服務(wù)、協(xié)議 8 數(shù)據(jù)和代碼分離 8 關(guān)鍵數(shù)據(jù)傳輸保護 8 禁止賦予用戶進程特權(quán) 8 使用適當(dāng)?shù)臄?shù)據(jù)類型 9 使用經(jīng)過驗證的安全代碼 9 使用應(yīng)用中間件 9 設(shè)計錯誤、 異常處理機制 9 提供備份機制 9 檢查傳遞變量的合法性 9 檢查所有函數(shù)返回代碼 9 修改面向用戶的操作的反饋缺省描述 9 文件操作的要求 10 其他編碼原則 104 應(yīng)用安全分析 11 安全需求 11 安全威脅 11 Web安全漏洞 11 拒絕服務(wù)攻擊 12 嗅探攻擊 12 中間人攻擊 12 安全約束 135 安全編程要求 13 輸入處理 13 建立可信邊界 13 驗證各種來源的輸入 14 保證所有的輸入信息是被驗證過的 14 對輸入內(nèi)容進行規(guī)范化處理后再進行驗證 15 選擇合適的數(shù)據(jù)驗證方式 15 防范元字符攻擊 15 拒絕驗證失敗的數(shù)據(jù) 15 在服務(wù)端進行驗證 15 建立統(tǒng)一的輸入驗證接口 16 控制寫入日志的信息 16 從服務(wù)器端提取關(guān)鍵參數(shù) 16 輸出處理 16 限制返回給客戶的信息 16 建立錯誤信息保護機制 16 數(shù)據(jù)庫訪問 16 合理分配數(shù)據(jù)庫訪問權(quán)限 16 合理存放數(shù)據(jù)庫連接帳號和密碼信息 17 使用參數(shù)化請求方式 17 對 SQL 語句中來自于不可信區(qū)域的輸入?yún)?shù)進行驗證 18 對數(shù)據(jù)庫操作的返回數(shù)據(jù)進行驗證 18 分次提取數(shù)據(jù) 18 通過 row（行）級別的訪問控制來使用數(shù)據(jù)庫 18 確保數(shù)據(jù)庫資源被釋放 18 文件操作 19 對上傳文件進行限制 19 把文件名以及文件內(nèi)容作為不可信的輸入對待 19 安全的使用文件名 19 使用文件系統(tǒng)訪問控制 19 注意文件訪問競爭條件 19 安全使用臨時文件 20 確保文件系統(tǒng)資源被釋放 206 安全特征 20 關(guān)注應(yīng)用的對象重用 20 用戶訪問控制信息的機密性 20 不要在客戶端存放敏感數(shù)據(jù) 20 避免內(nèi)存溢出 21 可配置數(shù)據(jù)保護 21 禁止在源代碼中寫入口令 21 隨機數(shù) 21 使用可信的密碼算法 22 異常管理 227 應(yīng)用安全設(shè)計規(guī)范 23 應(yīng)用安全規(guī)劃 23 數(shù)據(jù)安全等級劃分 23 數(shù)據(jù)庫規(guī)劃 23 用戶權(quán)限 23 數(shù)據(jù)源設(shè)計 23 外部系統(tǒng)訪問 23 角色劃分 24 URL規(guī)劃 24 程序文件目錄規(guī)劃 24 數(shù)據(jù)及程序分離 24 靜態(tài)程序資源 24 程序文件分類 24 Cookie 24 文件安全 25 文件存儲 25 文件操作 25 文件類型 25 第三方組件安全 25 組件兼容性 25 組件安全及成熟度 25 組件配置 25 Web Service 25 RESTful Web Service 26 應(yīng)用安全關(guān)注點 27 應(yīng)用安全限制應(yīng)對方案 29 外網(wǎng)隔離 29 外網(wǎng)文件操作 29 正向和反向隔離裝置（國網(wǎng)系統(tǒng)） 298 應(yīng)用安全開發(fā)規(guī)范 30 Java及Web安全編程規(guī)范 30 不信任未知 30 數(shù)據(jù)層開發(fā) 30 會話管理 32 Cookie 33 輸入驗證 33 輸入文件名的驗證 34 輸出處理 34 敏感信息處理 36 異常信息處理 37 特殊頁面跳轉(zhuǎn) 37 文件操作 37 資源釋放 38 內(nèi)存控制 38 外部程序調(diào)用漏洞 38 整數(shù)溢出 39 C++安全編程規(guī)范 39 不信任未知 39 免緩存區(qū)溢出 40 免緩整數(shù)溢出 42 域名合法性檢查 45 檢查返回值 46 產(chǎn)生隨機數(shù) 47 驗證輸入文件名 48 類設(shè)計注意事項 48 外部程序調(diào)用漏洞 50 臨時文件處理 501 背景與目標(biāo)在Internet大眾化及Web技術(shù)飛速演變的今天，Web安全所面臨的挑戰(zhàn)日益嚴(yán)峻。黑客攻擊技術(shù)越來越成熟和大眾化，針對Web的攻擊和破壞不斷增長，Web安全風(fēng)險達到了前所未有的高度。許多程序員不知道如何開發(fā)安全的應(yīng)用程序，開發(fā)出來的Web應(yīng)用存在較多的安全漏洞，這些安全漏洞一旦被黑客利用將導(dǎo)致嚴(yán)重甚至是災(zāi)難性的后果。這并非危言聳聽，類似的網(wǎng)上事故舉不勝舉，公司的Web產(chǎn)品也曾多次遭黑客攻擊，甚至有黑客利用公司W(wǎng)eb產(chǎn)品的漏洞敲詐運營商，造成極其惡劣的影響。本規(guī)范為解決Web應(yīng)用系統(tǒng)安全問題，對主要的應(yīng)用安全問題進行分析，并有針對性的從設(shè)計及開發(fā)規(guī)范、開發(fā)管理、安全組件框架、安全測試方面提供整體的安全解決方案。使本組織能以標(biāo)準(zhǔn)的、規(guī)范的方式設(shè)計和編碼。通過建立編碼規(guī)范，以使每個開發(fā)人員養(yǎng)成良好的編碼風(fēng)格和習(xí)慣；并以此形成開發(fā)小組編碼約定，提高程序的可靠性、可讀性、可修改性、可維護性和一致性等，增進團隊間的交流，并保證軟件產(chǎn)品的質(zhì)量。 2 安全編程概念 安全編程安全編程是指開發(fā)人員首先需要具備一定的安全知識，然后識別數(shù)據(jù)在流轉(zhuǎn)（輸入、處理和輸出）過程中可能面對的威脅，對這些威脅進行分析得出其利用的漏洞，通過合理地編寫代碼消除這些漏洞，降低軟件面臨的風(fēng)險。本規(guī)范對開發(fā)人員的編碼提出統(tǒng)一的安全要求， 主要涉及輸入處理、 輸出處理、 數(shù)據(jù)庫訪問、 文件操作、異常管理等方面，如下圖： 輸入處理部分能指導(dǎo)開發(fā)者避免用戶的不良輸入；輸出處理能指導(dǎo)開發(fā)者對輸出內(nèi)容進行過濾； 數(shù)據(jù)庫訪問、 文件操作部分則能指導(dǎo)開發(fā)者進行數(shù)據(jù)庫查詢， 寫入文件等操作時進行防護； 而異常管理、敏感數(shù)據(jù)保護、對象重用等技術(shù)則指導(dǎo)開發(fā)者改進軟件的自身缺陷。 WEB 開發(fā)規(guī)范部分則指導(dǎo)用戶在WEB 系統(tǒng)（ B/S 架構(gòu)應(yīng)用）的研發(fā)方面時如何增加對應(yīng)用軟件的保護。 結(jié)構(gòu)化編程結(jié)構(gòu)化編程，一種編程典范。它采用子程序、程式碼區(qū)塊、for循環(huán)以及while循環(huán)等結(jié)構(gòu)，來取代傳統(tǒng)的goto。希望借此來改善計算機程序的明晰性、品質(zhì)以及開發(fā)時間，并且避免寫出面條式代碼。 脆弱性脆弱性指計算機系統(tǒng)安全方面的缺陷，使得系統(tǒng)或其應(yīng)用數(shù)據(jù)的保密性、完整性、可用性、訪問控制、監(jiān)測機制等面臨威脅。 可信計算可信計算的行為會更全面地遵循設(shè)計，而執(zhí)行設(shè)計者和軟件編寫者所禁止的行為的概率很低。 安全可信模塊審計和訪問控制模塊是唯一的安全可信模塊。 不可信任模塊除審計和訪問控制模塊外其它所有模塊均為不可信模塊。 敏感信息系統(tǒng)的敏感信息包括用戶身份信息、認(rèn)證信息、授權(quán)信息、交易過程中的私密或隱私信息、其它的敏感信息。 特權(quán)特權(quán)只是允許去做并不是每個人都可以做的事情。 信息隱藏信息隱藏指在設(shè)計和確定模塊時，使得一個模塊內(nèi)包含的特定信息（過程或數(shù)據(jù)），對于不需要這些信息的其他模塊來說，是不可訪問的。信息隱藏基本原理框圖： 中間件中間件是提供系統(tǒng)軟件和應(yīng)用軟件之間連接的軟件，將常用且重要的過程調(diào)用、分布式組件、消息隊列、事務(wù)、安全、連結(jié)器、商業(yè)流程、網(wǎng)絡(luò)并發(fā)、HTTP服務(wù)器、Web Service等功能集于一身或者分別在不同品牌的不同產(chǎn)品中分別完成。 死鎖死鎖是操作系統(tǒng)或軟件運行的一種狀態(tài)：在多任務(wù)系統(tǒng)下，當(dāng)一個或多個進程等待系統(tǒng)資源，而資源又被進程本身或其它進程占用時，就形成了死鎖。 可信邊界可信邊界可以被認(rèn)為是在程序中劃定的一條分隔線，一邊的數(shù)據(jù)是不可信的而另一邊則是可信的。當(dāng)數(shù)據(jù)要從不可信的一側(cè)到可信一側(cè)的時候，需要使用驗證邏輯進行判斷。 元字符元字符就是在編程語言中具有特定含義的字符或者字符串。例如在 SQL 查詢中，單引號（‘）是危險的字符；在文件系統(tǒng)路徑中兩個點號（..）是危險的字符； 在命令 shell 中，分號（；）和雙 amp。（amp。amp。）符號同樣是危險的字符，而換行符（\n） 對日志文件很關(guān)鍵。 參數(shù)化查詢參數(shù)化查詢（Parameterized Query 或 Parameterized Statement）是指在設(shè)計與數(shù)據(jù)庫鏈接并訪問數(shù)據(jù)時，在需要填入數(shù)值或數(shù)據(jù)的地方，使用參數(shù) (Parameter) 來給值，這個方法目前已被視為最有效可預(yù)防SQL注入攻擊 (SQL Injection) 的攻擊手法的防御方式。 UNIX JAIL環(huán)境一個被改變根目錄的程序不可以訪問和命名在被改變根目錄外的文件，那個根目錄叫做“chroot監(jiān)獄（chroot jail,chroot prison)”。 臨時文件創(chuàng)建臨時文件的程序會在完成時將其刪除。 信息熵信息熵指信息的不確定性,一則高信息度的信息熵是很低的,低信息度的熵則高。 SSL安全套接層（Secure Sockets Layer，SSL），一種安全協(xié)議，是網(wǎng)景公司（Netscape）在推出Web瀏覽器首版的同時提出的，目的是為網(wǎng)絡(luò)通信提供安全及數(shù)據(jù)完整性。SSL在傳輸層對網(wǎng)絡(luò)連接進行加密。SSL采用公開密鑰技術(shù)，保證兩個應(yīng)用間通信的保密性和可靠性，使客戶與服務(wù)器應(yīng)用之間的通信不被攻擊者竊聽。它在服務(wù)器和客戶機兩端可同時被支持，目前已成為互聯(lián)網(wǎng)上保密通訊的工業(yè)標(biāo)準(zhǔn)。現(xiàn)行Web瀏覽器亦普遍將HTTP和SSL相結(jié)合，從而實現(xiàn)安全通信。此協(xié)議和其繼任者是TLS。 TLSSSL（Secure Sockets Layer）是網(wǎng)景公司（Netscape）設(shè)計的主要用于Web的安全傳輸協(xié)議。這種協(xié)議在Web上獲得了廣泛的應(yīng)用。IETF（）將SSL作了標(biāo)準(zhǔn)化，即RFC2246，并將其稱為TLS（Transport Layer Security），其最新版本是RFC5246,。從技術(shù)上講。 HTTPS超文本傳輸安全協(xié)議（縮寫：HTTPS，英語：Hypertext Transfer Protocol Secure）是超文本傳輸協(xié)議和SSL/TLS的組合，用以提供加密通訊及對網(wǎng)絡(luò)服務(wù)器身份的鑒定。HTTPS連接經(jīng)常被用于萬維網(wǎng)上的交易支付和企業(yè)信息系統(tǒng)中敏感信息的傳輸。HTTPS不應(yīng)與在RFC 2660中定義的安全超文本傳輸協(xié)議（SHTTP）相混。 Http會話在計算機科學(xué)領(lǐng)域來說，尤其是在網(wǎng)絡(luò)領(lǐng)域，會話（session）是一種持久網(wǎng)絡(luò)協(xié)議，在用戶（或用戶代理）端和服務(wù)器端之間創(chuàng)建關(guān)聯(lián)，從而起到交換數(shù)據(jù)包的作用機制，session在網(wǎng)絡(luò)協(xié)議（例如telnet或FTP）中是非常重要的部分。在不包含會話層（例如UDP）或者是無法長時間駐留會話層（例如HTTP）的傳輸協(xié)議中，會話的維持需要依靠在傳輸數(shù)據(jù)中的高級別程序。例如，在瀏覽器和遠程主機之間的HTTP傳輸中，HTTP cookie就會被用來包含一些相關(guān)的信息，例如session ID，參數(shù)和權(quán)限信息等。當(dāng)客戶端在多個服務(wù)器調(diào)取數(shù)據(jù)時，保持會話狀態(tài)的一致性是需要注意的，客戶端需用同時保持和某一個主機的連接，或者多個服務(wù)器端需要共享一個儲存會話信息的文件系統(tǒng)或者數(shù)據(jù)庫。否則，當(dāng)用戶在一個新的而不是一開始保存會話信息的主機上提交訪問請求的時候，主機會因為無法獲知原來主機的會話的訪問狀態(tài)而產(chǎn)生問題。 CookieCookie（復(fù)數(shù)形態(tài)Cookies），中文名稱為小型文本文件或小甜餅，指某些網(wǎng)站為了辨別用戶身份而儲存在用戶本地終端（Client Side）上的數(shù)據(jù)（通常經(jīng)過加密）。定義于RFC2109。為網(wǎng)景公司的前雇員Lou Montulli在1993年3月所發(fā)明。 HttpOnly CookieHttpOnly是包含在Http 響應(yīng)頭信息SetCookie中的一個額外標(biāo)志，如果瀏覽器支持HttpOnly標(biāo)志的話，在生成Cookie時使用HttpOnly標(biāo)志可幫助減輕客戶端腳本訪問受保護的Cookie時帶來的風(fēng)險（客戶端腳本不能訪問HttpOnly Cookie）。3 安全編程原則 統(tǒng)一的安全規(guī)范每個軟件項目在設(shè)計階段都應(yīng)明確在項目實施過程中項目組應(yīng)遵循的統(tǒng)一規(guī)范，具體包括：1. 命名規(guī)則、組件使用規(guī)范、異常處理規(guī)范、日志處理規(guī)