【正文】 當 CSRF 針對普通用戶發(fā)動攻擊時，將對終端用戶的數(shù)據(jù)和操作指令構成嚴重的威脅；當受攻擊的終端用戶具有管理員帳戶的時候，CSRF 攻擊將危及整個 Web 應用程序。規(guī)則 ：歸檔的程序文件中禁止保留調(diào)試用的代碼。% 歸檔要求規(guī)則 ：版本歸檔時，必須刪除開發(fā)過程（包括現(xiàn)場定制）中的臨時文件、備份文件、無用目錄等。規(guī)則 ：對于靜態(tài)頁面，在注釋信息中禁止包含源代碼信息。 異常處理規(guī)則 ：應用程序出現(xiàn)異常時，禁止向客戶端暴露不必要的信息，只能向客戶端返回一般性的錯誤提示消息。PHP 語言可以通過 htmlentities 或 htmlspecialchars 方法對 HTML 輸出進行編碼。OutStr = (,)。 輸出編碼規(guī)則 ：對于不可信的數(shù)據(jù)，輸出到客戶端前必須先進行 HTML 編碼。例如，網(wǎng)上購物程序，一般，用戶是這樣提交請求的： /?newItem=ITEM0105342，如果用戶提交： /?newItem=ITEM0105342amp。說明：和動態(tài)構建 SQL 一樣，動態(tài)構建 XPath 語句也會導致注入漏洞（XPath 注入）。備注：使用 like 進行模糊查詢時，如果直接用select * from table where ment like %?%，程序會報錯，必須采用如下方法String express = select * from table where ment like ?。實施指導：參考如下代碼：String inssql = insert into buy(empid, name, age, birthday) values (?,?,?,?)。規(guī)則 ：禁止通過字符串串聯(lián)直接使用用戶輸入構造可執(zhí)行 SQL 語句。說明：可定義一個合法字符集。String characterPattern = ^\\d+$。不要根據(jù) referer 字段的值做出任何安全決策（如檢查請求是否來源于 Web 應用程序生成的頁面），因為該字段是很容易被偽造的。說明：用戶產(chǎn)生的輸入是指來自 text、password、textareas 或 file 表單域的數(shù)據(jù)；必須假定所有用戶產(chǎn)生的輸入都是不可信的，并對它們進行合法性校驗。說明：認證就是確定誰在調(diào)用 DWR 接口，并且證實調(diào)用者身份。規(guī)則 ：對 RESTful Web Service 調(diào)用進行日志記錄。注意：user 和 pass 必須加密保存在配置文件或數(shù)據(jù)庫中，不能寫死在代碼中；傳輸時采用 安全協(xié)議。規(guī)則 ：對 Web Service 接口調(diào)用進行日志記錄。規(guī)則 ：通過 Web Service 接口傳遞敏感數(shù)據(jù)時，必須保障其機密性。建議 ：通過網(wǎng)絡形式保存安全日志。確保日志的安全，限制對日志的訪問，這加大了攻擊者篡改日志文件以掩飾其攻擊行為的難度。說明：這些信息一旦傳送到客戶端，那么用戶也就可以獲取到了。實施指導：1. SSL 的配置請參考《附件 1 Tomcat 配置 SSL 指導》。 (Expires,0)。此時，在后臺服務端，用戶口令可以不需要還原，因此建議使用不可逆的加密算法，對“用戶名+口令”字符串進行加密。例外情況，如果 Web 容器的配置文件中只能以明文方式配置連接數(shù)據(jù)庫的用戶名和口令，那么就不用強制遵循該規(guī)則，將該配置文件的屬性改為只有屬主可讀寫。說明：根據(jù)業(yè)務系統(tǒng)要求，創(chuàng)建相應的數(shù)據(jù)庫帳號，并授予必需的數(shù)據(jù)庫權限。說明：禁止將授權和角色數(shù)據(jù)存放在客戶端中（比如 cookie 或隱藏域中），以防止被篡改。? 生成會話標識（session ID）要保證足夠的隨機、離散，以便不能被猜測、枚舉，要求session ID 要至少要 32 字節(jié)，要支持字母和數(shù)字字符集。說明：建議默認會話超時時間為 10 分鐘（備注：對于嵌入式系統(tǒng)中的 Web，建議默認超時時間為 5 分鐘，以減少系統(tǒng)資源占用）。規(guī)則 ：當 Web 應用跟蹤到非法會話，則必須記錄日志、清除會話并返回到認證界面。如果條件限制必須通過持久性 cookie 維持會話的話，那么 cookie 信息中的重要數(shù)據(jù)部分如身份信息、計費信息等都必須進行加密。規(guī)則 ：驗證碼字符串要求是隨機生成，生成的隨機數(shù)必須是安全的。注意：應用程序的超級用戶帳號不能被鎖定，只能鎖定操作的客戶端所在的 IP，這是為了防止系統(tǒng)不可用。14 / 37建議 ：管理頁面建議實施強身份認證。HttpSession newSession=(true)。說明：最終用戶 portal 和管理 portal 分離，防止相互影響，防止來自用戶面的攻擊影響管理面。規(guī)則 ：所有登錄頁面的認證處理模塊必須統(tǒng)一。說明：使用驗證碼的目的是為了阻止攻擊者使用自動登錄工具連續(xù)嘗試登錄，從而降低被暴力破解的可能。建議 ：如果 Web 應用系統(tǒng)存在不同的訪問等級（如個人帳號使用、客戶服務、管理），那么應該通過不同的 Web 服務器來處理來自不同訪問等級的請求，而且 Web 應用應該鑒別請求是否來自正確的 Web 服務器。10 傳輸層保護不足 應用程序時常沒有身份認證、加密措施，甚至沒有保護敏感網(wǎng)絡數(shù)據(jù)的保密性和完整性。由于許多設置的默認值并不是安全的，因此，必須定義、實施和維護所有這些設置。2 跨站腳本 當應用程序收到含有不可信的數(shù)據(jù)，在沒有進行適當?shù)尿炞C和轉義的情況下，10 / 37就將它發(fā)送給一個網(wǎng)頁瀏覽器，這就會產(chǎn)生跨站腳本攻擊（簡稱 XSS）。 使用對象本規(guī)范的讀者及使用對象主要為 Web 相關的需求分析人員、設計人員、開發(fā)人員、測試人員等。配置管理 未授權訪問管理界面、更新配置數(shù)據(jù)、訪問用戶帳戶和帳戶配置文件。為了防止一些惡意輸入，還要對輸入的數(shù)據(jù)和參數(shù)進行校驗。黑客攻擊技術越來越成熟和大眾化，針對 Web 的攻擊和破壞不斷增長， Web 安全風險達到了前所未有的高度。DKBA華為技術有限公司內(nèi)部技術規(guī)范DKBA Web 應用安全開發(fā)規(guī)范 2022 年 XX 月 XX 日發(fā)布 2022 年 XX 月 XX 日實施華為技術有限公司Huawei Technologies Co., Ltd.版權所有 侵權必究All rights reserved修訂聲明 Revision declaration本規(guī)范擬制與解釋部門：網(wǎng)絡安全能力中心amp。許多程序員不知道如何開發(fā)安全的應用程序，開發(fā)出來的 Web 應用存在較多的安全漏洞，這些安全漏洞一旦被黑客利用將導致嚴重甚至是災難性的后果。另外還要考慮 Web 系統(tǒng)的安全配置，敏感數(shù)據(jù)的保護和用戶的權限管理，以及所有操作的安全審計。敏感數(shù)據(jù) 機密信息泄漏和數(shù)據(jù)篡改。 適用范圍本規(guī)范的制定考慮了公司各種 Web 應用開發(fā)的共性，適合于公司絕大部分 Web 產(chǎn)品，要求 Web 產(chǎn)品開發(fā)必須遵循。XSS 允許攻擊者在受害者的瀏覽器上執(zhí)行腳本，從而劫持用戶會話、危害網(wǎng)站、或者將用戶轉向至惡意網(wǎng)站。這包括了對所有的軟件保護及時地更新，包括所有應用程序的庫文件。而當進行保護時，應用程序有時采用弱算法、使用過期或無效的證書，或不正確地使用這些技術。說明：這樣便于通過防火墻的訪問控制策略和 Web 應用來控制不同訪問等級的訪問，比如通過防火墻策略控制，只允許內(nèi)網(wǎng)訪問管理 Portal。如果覺得驗證碼影響用戶體驗，那么可以在前 3 次登錄嘗試中不使用驗證碼，3 次登錄失敗后必須使用驗證碼。說明：可以存在多個登錄頁面，但是不允許存在多個可用于處理登錄認證請求的模塊，防止不一致的認證方式。實施指導：將最終用戶 portal 和管理 portal 分別部署在不同的物理服務器；如果為了解決成本合設（部署在同一臺物理服務器上），那么，必須做到端口分離（通過不同的端口提供 Web 服務），一般的 Web 容器（如 tomcat）支持為不同的 Web 應用創(chuàng)建不同的端口。Cookie cookie = new Cookie(JSESSIONID,())。說明：如雙因素認證、SSL 雙向證書認證、生物認證等；還可以通過應用程序限制只允許某些特定的 IP 地址訪問管理頁面，并且這些特定的 IP 地址可配置。特別說明：鎖客戶端 IP 策略存在缺陷，當用戶使用 proxy 上網(wǎng)時，那么鎖定客戶端 IP 會導致使用該 proxy 上網(wǎng)的所有用戶在 IP 鎖定期間都不能使用該 Web應用；鎖定用戶帳戶的策略也存在缺陷，當攻擊者不斷嘗試某帳戶的口令，就給該帳戶帶來拒絕服務攻擊，使該帳戶不可用。15 / 37說明：對于 java 語言可以使用類 來生成安全的隨機數(shù)。（cookie 有兩種：會話 cookie 和持久性 cookie；會話 cookie，也就是非持久性 cookie，不設置過期時間，其生命期為瀏覽器會話期間，只要關閉瀏覽器窗口，cookie 就消失了；會話 cookie 一般不存儲在硬盤上而是保存在內(nèi)存里。說明： 非法會話的概念就是通過一系列的服務端合法性檢測（包括訪問未授權資源，缺少16 / 37必要參數(shù)等情況），最終發(fā)現(xiàn)的不是正常請求產(chǎn)生的會話。如果沒有特殊需求，禁止使用自動發(fā)起請求的機制來阻止 session 超時。? 服務端必須對客戶端提交的 session ID 的有效性進行校驗。規(guī)則 ：一個帳號只能擁有必需的角色和必需的權限。不能使用“sa”、“sysman”等管理帳號或高級別權限帳號。規(guī)則 ：禁止在 cookie 中以明文形式存儲敏感數(shù)據(jù)。推薦的不可逆加密算法： SHA25SHA384 、SHA512，HMACSHA256 、HMACSHA38HMACSHA512 。 %注意：以上代碼對于采用強制緩存策略的代理服務器不生效（代理服務器默認是不緩存的），要防止代理服務器緩存頁面，可以在鏈接后加入一個隨機數(shù) pageid,此時鏈接變成： 其中 2245562 數(shù)字是隨機生成的，每次請求此頁面時，隨機數(shù)都不同，IE 始終認為此為一個新請求 ，并重新解析，生成新的響應頁面。2. Web 應用中，從 切換到 過程中會丟失 session，無法保持會話的連續(xù)。21 / 37 安全審計本節(jié)的安全審計是針對 Web 業(yè)務應用，不包括對操作系統(tǒng)、 Web 容器的安全審計。規(guī)則 ：對日志模塊占用資源必須有相應的限制機制。說明：在生成安全日志時，即時將日志保存到網(wǎng)絡上其他主機，而且生成安全日志的應用程序不能再訪問存放在其他主機的日志。實施指導：方案 1：請參考《附件 2 Web Service 安全接入開發(fā)指導》。說明：日志內(nèi)容包括但不限于如下內(nèi)容：調(diào)用時間、操作類型、調(diào)用接口名稱、詳細的接口參數(shù)、客戶端 IP、客戶端機器名、調(diào)用者的用戶標識、受影響的個體（數(shù)據(jù)、資源）、成功或失敗標識。對于安全性要求不高、只向同一信任域內(nèi)其他主機開放的 Web Service 接口，可以通過簡單的 IP 認證來實現(xiàn)接口的認證（只有服務器端指定 IP 地址的客戶端才允許調(diào)用， IP 地址可配置）。說明：日志內(nèi)容包括但不限于如下內(nèi)容：調(diào)用時間、操作類型、調(diào)用接口名稱、詳細的接口參數(shù)、客戶端 IP、客戶端機器名、調(diào)用者的用戶標識、受影響的個體（數(shù)據(jù)、資源）、成功或失敗標識。實施指導：對于 DWR 接口的認證直接沿用 認證機制，不用單獨再做認證。規(guī)則 ：必須對所有服務器產(chǎn)生的輸入進行校驗，一旦數(shù)據(jù)不合法，必須使會話失效，并記錄告警日志。規(guī)則 ：不能依賴于客戶端校驗，必須使用服務端代碼對輸入數(shù)據(jù)進行最終校驗。 //正則表達式表示是否全為數(shù)字if (! (characterPattern))26 / 37{ (“Invalid Input”)。實施指導：String text = (text)。說明：禁止通過字符串串聯(lián)直接使用用戶輸入構造可執(zhí)行 SQL 語句，如：string sql = select status from Users where UserName=39。PreparedStatement stmt = null。pstmt = (express)。動態(tài)構建 XPath 語句的例子：public boolean doLogin(String loginID, String password){......XPathExpression expr = (//users/user[loginID/text()=39。balance=0，這樣， balance=0 的信息就被在存儲到了 JavaBean 中了，而 balance 是整個會話中用來存儲總費用的，當他們這時點擊“chekout”結賬的時候，費用就全免了。說明：不可信的數(shù)據(jù)（也就是其他業(yè)務系統(tǒng)生成的未經(jīng)本應用程序驗證的表數(shù)據(jù)或文件數(shù)29 / 37據(jù)），通過對輸出到客戶端的數(shù)據(jù)進行編碼，可以防止瀏覽器將 HTML 視為可執(zhí)行腳本，從而防止跨站腳本攻擊。OutStr = (\,)。 上傳下載規(guī)則 ：必須在服務器端采用白名單方式對上傳或下載的文件類型、大小進行嚴格的限制。說明：應用程序出現(xiàn)異常時，禁止將數(shù)據(jù)庫版本、數(shù)據(jù)庫結構、操作系統(tǒng)版本、堆棧跟蹤、文件名和路徑信息、SQL 查詢字符串等對攻擊者有用的信息返回給客戶端。規(guī)則 ：對于動態(tài)頁面不使用普通注釋，只使用隱藏注釋。說明：惡意用戶可以通過 URL 之類的文件，Web 服務器會將這些文件以文本方式呈現(xiàn)給惡意用戶，造成代碼的泄漏，嚴重威脅 Web 應用的安全。說明：這里的“調(diào)試用的代碼”是指開發(fā)過程中進行臨時調(diào)試所用的、在 Web 應用運行過程