【正文】 情況06277，馬亮60009259，孟詠喜22499，潘海濤 27360，孫林 46580，王福40317，王錦亮 36430，王美玲 60011866，王謨磊 65558，王玉龍24387，楊娟60019875，張鋒43381，張健60005645，張軼57143，鄒韜 51591何偉祥 33428 劉高峰 63564，龔連陽 00129383，許汝波 62966，吳宇翔 00120395，王歡 00104062，呂曉雨 56987增加了 Web Service、Ajax 和上傳和下載相關(guān)的安全規(guī)范。DKBA華為技術(shù)有限公司內(nèi)部技術(shù)規(guī)范DKBA Web 應(yīng)用安全開發(fā)規(guī)范 2022 年 XX 月 XX 日發(fā)布 2022 年 XX 月 XX 日實施華為技術(shù)有限公司Huawei Technologies Co., Ltd.版權(quán)所有 侵權(quán)必究All rights reserved修訂聲明 Revision declaration本規(guī)范擬制與解釋部門：網(wǎng)絡(luò)安全能力中心amp。何偉祥 00162822 增加了防止會話固定和防止跨站請求偽造的安全規(guī)范。許多程序員不知道如何開發(fā)安全的應(yīng)用程序，開發(fā)出來的 Web 應(yīng)用存在較多的安全漏洞，這些安全漏洞一旦被黑客利用將導致嚴重甚至是災(zāi)難性的后果。Web 應(yīng)用安全開發(fā)規(guī)范 內(nèi)部公開202254 華為機密，未經(jīng)許可不得擴散 第 8 頁, 共 39 頁 技術(shù)框架圖 1 典型的 Web 安全技術(shù)框架圖 1 顯示了典型的 Web 安全的技術(shù)框架和安全技術(shù)點，這些安全技術(shù)點，貫穿整個Web 設(shè)計開發(fā)過程。另外還要考慮 Web 系統(tǒng)的安全配置，敏感數(shù)據(jù)的保護和用戶的權(quán)限管理，以及所有操作的安全審計。表 1 Web 應(yīng)用程序缺陷和由于不良設(shè)計可能導致的問題缺陷類別 由于不良設(shè)計可能導致的問題身份驗證 身份偽造、口令破解、權(quán)限提升和未授權(quán)訪問。敏感數(shù)據(jù) 機密信息泄漏和數(shù)據(jù)篡改。包括命令執(zhí)行、跨站點腳本編寫 (XSS)、SQL 注入和緩沖區(qū)溢出攻擊等。 適用范圍本規(guī)范的制定考慮了公司各種 Web 應(yīng)用開發(fā)的共性，適合于公司絕大部分 Web 產(chǎn)品，要求 Web 產(chǎn)品開發(fā)必須遵循。）表 2 十大 Web 應(yīng)用程序安全漏洞列表序號 漏洞名稱 漏洞描述1 注入 注入攻擊漏洞，例如 SQL、OS 命令以及 LDAP 注入。XSS 允許攻擊者在受害者的瀏覽器上執(zhí)行腳本，從而劫持用戶會話、危害網(wǎng)站、或者將用戶轉(zhuǎn)向至惡意網(wǎng)站。5 跨站請求偽造 一個跨站請求偽造攻擊迫使登錄用戶的瀏覽器將偽造的 HTTP 請求，包括該用戶的會話 cookie 和其他認證信息，發(fā)送到一個存在漏洞的 Web 應(yīng)用程序。這包括了對所有的軟件保護及時地更新，包括所有應(yīng)用程序的庫文件。如果沒有得到適當驗證，攻擊者可以將受害用戶重定向到釣魚網(wǎng)站或惡意網(wǎng)站，或者使用前轉(zhuǎn)去訪問未經(jīng)授權(quán)的網(wǎng)頁。而當進行保護時，應(yīng)用程序有時采用弱算法、使用過期或無效的證書，或不正確地使用這些技術(shù)。規(guī)則 ：Web 站點的根目錄必須安裝在非系統(tǒng)卷中。說明：這樣便于通過防火墻的訪問控制策略和 Web 應(yīng)用來控制不同訪問等級的訪問，比如通過防火墻策略控制，只允許內(nèi)網(wǎng)訪問管理 Portal。 認證規(guī)則 ：對用戶的最終認證處理過程必須放到應(yīng)用服務(wù)器進行。如果覺得驗證碼影響用戶體驗，那么可以在前 3 次登錄嘗試中不使用驗證碼，3 次登錄失敗后必須使用驗證碼。備注：對于嵌入式系統(tǒng)，如果實現(xiàn)驗證碼比較困難，可以通過多次認證失敗鎖定客戶端 IP的方式來防止暴力破解。說明：可以存在多個登錄頁面，但是不允許存在多個可用于處理登錄認證請求的模塊，防止不一致的認證方式。規(guī)則 ：認證失敗后，不能提示給用戶詳細以及明確的錯誤原因，只能給出一般性的提示。Web 應(yīng)用安全開發(fā)規(guī)范 內(nèi)部公開202254 華為機密，未經(jīng)許可不得擴散 第 14 頁, 共 39 頁實施指導：將最終用戶 portal 和管理 portal 分別部署在不同的物理服務(wù)器；如果為了解決成本合設(shè)（部署在同一臺物理服務(wù)器上），那么，必須做到端口分離（通過不同的端口提供 Web 服務(wù)），一般的 Web 容器（如 tomcat）支持為不同的 Web 應(yīng)用創(chuàng)建不同的端口。重新認證，比如讓用戶重新輸入口令。Cookie cookie = new Cookie(JSESSIONID,())。(cookie)。說明：如雙因素認證、SSL 雙向證書認證、生物認證等；還可以通過應(yīng)用程序限制只允許某些特定的 IP 地址訪問管理頁面，并且這些特定的 IP 地址可配置。允許連續(xù)失敗的次數(shù)（指從最后一次成功以來失敗次數(shù)的累計值）可配置，取值范圍為：099 次，0 表示不執(zhí)行鎖定策略，建議默認： 5 次。特別說明：鎖客戶端 IP 策略存在缺陷，當用戶使用 proxy 上網(wǎng)時，那么鎖定客戶端 IP 會導致使用該 proxy 上網(wǎng)的所有用戶在 IP 鎖定期間都不能使用該 Web應(yīng)用；鎖定用戶帳戶的策略也存在缺陷，當攻擊者不斷嘗試某帳戶的口令，就給該帳戶帶來拒絕服務(wù)攻擊，使該帳戶不可用。說明：在使用驗證碼生成模塊時不允許接收來自客戶端的任何參數(shù)，例如：禁止通過?code=1234 的 URL 請求，將 1234 作為驗證碼隨機數(shù)。說明：對于 java 語言可以使用類 來生成安全的隨機數(shù)。說明：以上規(guī)則可以通過使用電信軟件與核心網(wǎng)網(wǎng)絡(luò)安全工程部提供的 驗證碼 CBB 來實現(xiàn)。（cookie 有兩種：會話 cookie 和持久性 cookie；會話 cookie，也就是非持久性 cookie，不設(shè)置過期時間，其生命期為瀏覽器會話期間，只要關(guān)閉瀏覽器窗口，cookie 就消失了；會話 cookie 一般不存儲在硬盤上而是保存在內(nèi)存里。說明：會話過程中不允許修改的信息，例如，當用戶通過認證后，其用戶標識在整個會話過程中不能被篡改。說明： 非法會話的概念就是通過一系列的服務(wù)端合法性檢測（包括訪問未授權(quán)資源，缺少必要參數(shù)等情況），最終發(fā)現(xiàn)的不是正常請求產(chǎn)生的會話。Web 應(yīng)用安全開發(fā)規(guī)范 內(nèi)部公開202254 華為機密，未經(jīng)許可不得擴散 第 17 頁, 共 39 頁說明：防止遺留在內(nèi)存中的會話信息被竊取，減少內(nèi)存占用。如果沒有特殊需求，禁止使用自動發(fā)起請求的機制來阻止 session 超時。規(guī)則 ：所有登錄后才能訪問的頁面都必須有明顯的“注銷（或退出）”的按鈕或菜單，如果該按鈕或菜單被點擊，則必須使對應(yīng)的會話立即失效。? 服務(wù)端必須對客戶端提交的 session ID 的有效性進行校驗。說明：防止用戶通過直接輸入 URL，越權(quán)請求并執(zhí)行一些頁面或 servlet；建議通過過濾器實現(xiàn)。規(guī)則 ：一個帳號只能擁有必需的角色和必需的權(quán)限。）這樣即使帳號被攻擊者盜取，也能把安全損失控制在最小的限度。不能使用“sa”、“sysman”等管理帳號或高級別權(quán)限帳號。用于加密密鑰的密鑰可以硬編碼在代碼中。規(guī)則 ：禁止在 cookie 中以明文形式存儲敏感數(shù)據(jù)。實施指導：場景 1：后臺服務(wù)端保存數(shù)據(jù)庫的登錄口令后臺服務(wù)器登錄數(shù)據(jù)庫需要使用登錄數(shù)據(jù)庫的明文口令，此時后臺服務(wù)器加密保存該口令后，下次登錄時需要還原成明文，因此，在這種情況下，不可用不可逆的加密算法，而需要使用對稱加密算法或者非對稱加密算法，一般也不建議采用非對稱加密算法。推薦的不可逆加密算法： SHA25SHA384 、SHA512，HMACSHA256 、HMACSHA38HMACSHA512 。說明：帶有敏感數(shù)據(jù)的 Web 頁面都應(yīng)該禁止緩存，以防止敏感信息泄漏或通過代理服務(wù)器上網(wǎng)的用戶數(shù)據(jù)互竄問題。 %注意：以上代碼對于采用強制緩存策略的代理服務(wù)器不生效（代理服務(wù)器默認是不緩存的），要防止代理服務(wù)器緩存頁面，可以在鏈接后加入一個隨機數(shù) pageid,此時鏈接變成： 其中 2245562 數(shù)字是隨機生成的，每次請求此頁面時，隨機數(shù)都不同，IE 始終認為此為一個新請求 ，并重新解析，生成新的響應(yīng)頁面。實施指導：1. 對于 JSP 頁面，將表單的屬性 method 賦值為post，如下form name=form1 method=post action=2. 如果是使用 servlet 處理提交的表單數(shù)據(jù)，那么只在 doPost 方法中處理，參考代碼如下public class ValidationServlet extends HttpServlet{public void doPost(HttpServletRequest request, HttpServletResponse response) throws IOException, ServletException{ //對提交的表單數(shù)據(jù)進行校驗}}規(guī)則 ：在客戶端和服務(wù)器間傳遞明文的敏感數(shù)據(jù)時，必須使用帶服務(wù)器端證書的SSL。2. Web 應(yīng)用中，從 切換到 過程中會丟失 session，無法保持會話的連續(xù)。規(guī)則 ：禁止在 URL 中攜帶會話標識（如 jsessionid）。 安全審計本節(jié)的安全審計是針對 Web 業(yè)務(wù)應(yīng)用，不包括對操作系統(tǒng)、 Web 容器的安全審計。規(guī)則 ：安全日志必須包括但不限于如下內(nèi)容：事件發(fā)生的時間、事件類型、客戶端IP、客戶端機器名、當前用戶的標識、受影響的個體（數(shù)據(jù)、資源）、成功或失敗標識、啟動該事件的進程標識以及對該事件的詳細描述。規(guī)則 ：對日志模塊占用資源必須有相應(yīng)的限制機制。建議 ：安全日志應(yīng)該有備份及清理機制。說明：在生成安全日志時，即時將日志保存到網(wǎng)絡(luò)上其他主機，而且生成安全日志的應(yīng)用程序不能再訪問存放在其他主機的日志。規(guī)則 ：如果調(diào)用者的權(quán)限各不相同，那么必須對 Web Service 接口的調(diào)用進行鑒權(quán)。實施指導：方案 1：請參考《附件 2 Web Service 安全接入開發(fā)指導》。實施指導：請參考《附件 2 Web Service 安全接入開發(fā)指導》。說明：日志內(nèi)容包括但不限于如下內(nèi)容：調(diào)用時間、操作類型、調(diào)用接口名稱、詳細的接口參數(shù)、客戶端 IP、客戶端機器名、調(diào)用者的用戶標識、受影響的個體（數(shù)據(jù)、資源）、成功或失敗標識。規(guī)則 ：對 RESTful Web Service 的調(diào)用必須進行認證。對于安全性要求不高、只向同一信任域內(nèi)其他主機開放的 Web Service 接口，可以通過簡單的 IP 認證來實現(xiàn)接口的認證（只有服務(wù)器端指定 IP 地址的客戶端才允許調(diào)用， IP 地址可配置）。實施指導：采用 安全協(xié)議。說明：日志內(nèi)容包括但不限于如下內(nèi)容：調(diào)用時間、操作類型、調(diào)用接口名稱、詳細的接口參數(shù)、客戶端 IP、客戶端機器名、調(diào)用者的用戶標識、受影響的個體（數(shù)據(jù)、資源）、成功或失敗標識。規(guī)則 ：關(guān)閉 DWR 調(diào)試功能。實施指導：Web 應(yīng)用安全開發(fā)規(guī)范 內(nèi)部公開202254 華為機密，未經(jīng)許可不得擴散 第 26 頁, 共 39 頁對于 DWR 接口的認證直接沿用 認證機制，不用單獨再做認證。規(guī)則 ：必須對 DWR 提交的參數(shù)進行輸入校驗。規(guī)則 ：必須對所有服務(wù)器產(chǎn)生的輸入進行校驗，一旦數(shù)據(jù)不合法，必須使會話失效，并記錄告警日志。說明：HTTP 標題頭是在 HTTP 請求和 HTTP 響應(yīng)的開始階段發(fā)送的。規(guī)則 ：不能依賴于客戶端校驗，必須使用服務(wù)端代碼對輸入數(shù)據(jù)進行最終校驗。規(guī)則 ：如果輸入為數(shù)字參數(shù)則必須進行數(shù)字型判斷。 //正則表達式表示是否全為數(shù)字if (! (characterPattern)){ (“Invalid Input”)。String characterPattern = ^([az09AZ]+[_]?)+[az09AZ](([az09AZ]+[_]?)+([az09AZ]+)?\\.)+[azAZ]{2,4}$。實施指導：String text = (text)。說明：如果輸入數(shù)據(jù)是字符串，必須校驗字符串的長度是否符合要求，長度校驗會加大攻擊者實施攻擊的難度。說明：禁止通過字符串串聯(lián)直接使用用戶輸入構(gòu)造可執(zhí)行 SQL 語句，如：string sql = select status from Users where UserName=39。說明：使用預(yù)編譯語句 PreparedStatement，類型化 SQL 參數(shù)將檢查輸入的類型，確保輸入值在數(shù)據(jù)庫中當作字符串、數(shù)字、日期或 boolean 等值而不是可執(zhí)行代碼進行處理，從而防止 SQL 注入攻擊。PreparedStatement stmt = null。 (3, age)。pstmt = (express)。%hello%39。動態(tài)構(gòu)建 XPath 語句的例子：public boolean doLogin(String loginID, String password){......XPathExpression expr = (//users/user[loginID/text()=39。 ]/firstname/text())。balance=0，這樣， balance=0 的信息就被在存儲到了 JavaBean 中了，而 balance 是整個會話中用來存儲總費用的，當他們這時點擊“chekout”結(jié)賬的時候，費用就全免了。說明：如果服務(wù)端代碼中使用 ().exec(cmd)或 ProcessBuild