【正文】 當(dāng) CSRF 針對(duì)普通用戶發(fā)動(dòng)攻擊時(shí)，將對(duì)終端用戶的數(shù)據(jù)和操作指令構(gòu)成嚴(yán)重的威脅；當(dāng)受攻擊的終端用戶具有管理員帳戶的時(shí)候，CSRF 攻擊將危及整個(gè) Web 應(yīng)用程序。規(guī)則 ：歸檔的程序文件中禁止保留調(diào)試用的代碼。% 歸檔要求規(guī)則 ：版本歸檔時(shí)，必須刪除開發(fā)過程（包括現(xiàn)場(chǎng)定制）中的臨時(shí)文件、備份文件、無用目錄等。規(guī)則 ：對(duì)于靜態(tài)頁面，在注釋信息中禁止包含源代碼信息。 異常處理規(guī)則 ：應(yīng)用程序出現(xiàn)異常時(shí)，禁止向客戶端暴露不必要的信息，只能向客戶端返回一般性的錯(cuò)誤提示消息。PHP 語言可以通過 htmlentities 或 htmlspecialchars 方法對(duì) HTML 輸出進(jìn)行編碼。OutStr = (,)。 輸出編碼規(guī)則 ：對(duì)于不可信的數(shù)據(jù)，輸出到客戶端前必須先進(jìn)行 HTML 編碼。例如，網(wǎng)上購物程序，一般，用戶是這樣提交請(qǐng)求的： /?newItem=ITEM0105342，如果用戶提交： /?newItem=ITEM0105342amp。說明：和動(dòng)態(tài)構(gòu)建 SQL 一樣，動(dòng)態(tài)構(gòu)建 XPath 語句也會(huì)導(dǎo)致注入漏洞（XPath 注入）。備注：使用 like 進(jìn)行模糊查詢時(shí)，如果直接用select * from table where ment like %?%，程序會(huì)報(bào)錯(cuò)，必須采用如下方法String express = select * from table where ment like ?。實(shí)施指導(dǎo)：參考如下代碼：String inssql = insert into buy(empid, name, age, birthday) values (?,?,?,?)。規(guī)則 ：禁止通過字符串串聯(lián)直接使用用戶輸入構(gòu)造可執(zhí)行 SQL 語句。說明：可定義一個(gè)合法字符集。String characterPattern = ^\\d+$。不要根據(jù) referer 字段的值做出任何安全決策（如檢查請(qǐng)求是否來源于 Web 應(yīng)用程序生成的頁面），因?yàn)樵撟侄问呛苋菀妆粋卧斓?。說明：用戶產(chǎn)生的輸入是指來自 text、password、textareas 或 file 表單域的數(shù)據(jù)；必須假定所有用戶產(chǎn)生的輸入都是不可信的，并對(duì)它們進(jìn)行合法性校驗(yàn)。說明：認(rèn)證就是確定誰在調(diào)用 DWR 接口，并且證實(shí)調(diào)用者身份。規(guī)則 ：對(duì) RESTful Web Service 調(diào)用進(jìn)行日志記錄。注意：user 和 pass 必須加密保存在配置文件或數(shù)據(jù)庫中，不能寫死在代碼中；傳輸時(shí)采用 安全協(xié)議。規(guī)則 ：對(duì) Web Service 接口調(diào)用進(jìn)行日志記錄。規(guī)則 ：通過 Web Service 接口傳遞敏感數(shù)據(jù)時(shí)，必須保障其機(jī)密性。建議 ：通過網(wǎng)絡(luò)形式保存安全日志。確保日志的安全，限制對(duì)日志的訪問，這加大了攻擊者篡改日志文件以掩飾其攻擊行為的難度。說明：這些信息一旦傳送到客戶端，那么用戶也就可以獲取到了。實(shí)施指導(dǎo)：1. SSL 的配置請(qǐng)參考《附件 1 Tomcat 配置 SSL 指導(dǎo)》。 (Expires,0)。此時(shí)，在后臺(tái)服務(wù)端，用戶口令可以不需要還原，因此建議使用不可逆的加密算法，對(duì)“用戶名+口令”字符串進(jìn)行加密。例外情況，如果 Web 容器的配置文件中只能以明文方式配置連接數(shù)據(jù)庫的用戶名和口令，那么就不用強(qiáng)制遵循該規(guī)則，將該配置文件的屬性改為只有屬主可讀寫。說明：根據(jù)業(yè)務(wù)系統(tǒng)要求，創(chuàng)建相應(yīng)的數(shù)據(jù)庫帳號(hào)，并授予必需的數(shù)據(jù)庫權(quán)限。說明：禁止將授權(quán)和角色數(shù)據(jù)存放在客戶端中（比如 cookie 或隱藏域中），以防止被篡改。? 生成會(huì)話標(biāo)識(shí)（session ID）要保證足夠的隨機(jī)、離散，以便不能被猜測(cè)、枚舉，要求session ID 要至少要 32 字節(jié)，要支持字母和數(shù)字字符集。說明：建議默認(rèn)會(huì)話超時(shí)時(shí)間為 10 分鐘（備注：對(duì)于嵌入式系統(tǒng)中的 Web，建議默認(rèn)超時(shí)時(shí)間為 5 分鐘，以減少系統(tǒng)資源占用）。規(guī)則 ：當(dāng) Web 應(yīng)用跟蹤到非法會(huì)話，則必須記錄日志、清除會(huì)話并返回到認(rèn)證界面。如果條件限制必須通過持久性 cookie 維持會(huì)話的話，那么 cookie 信息中的重要數(shù)據(jù)部分如身份信息、計(jì)費(fèi)信息等都必須進(jìn)行加密。規(guī)則 ：驗(yàn)證碼字符串要求是隨機(jī)生成，生成的隨機(jī)數(shù)必須是安全的。注意：應(yīng)用程序的超級(jí)用戶帳號(hào)不能被鎖定，只能鎖定操作的客戶端所在的 IP，這是為了防止系統(tǒng)不可用。14 / 37建議 ：管理頁面建議實(shí)施強(qiáng)身份認(rèn)證。HttpSession newSession=(true)。說明：最終用戶 portal 和管理 portal 分離，防止相互影響，防止來自用戶面的攻擊影響管理面。規(guī)則 ：所有登錄頁面的認(rèn)證處理模塊必須統(tǒng)一。說明：使用驗(yàn)證碼的目的是為了阻止攻擊者使用自動(dòng)登錄工具連續(xù)嘗試登錄，從而降低被暴力破解的可能。建議 ：如果 Web 應(yīng)用系統(tǒng)存在不同的訪問等級(jí)（如個(gè)人帳號(hào)使用、客戶服務(wù)、管理），那么應(yīng)該通過不同的 Web 服務(wù)器來處理來自不同訪問等級(jí)的請(qǐng)求，而且 Web 應(yīng)用應(yīng)該鑒別請(qǐng)求是否來自正確的 Web 服務(wù)器。10 傳輸層保護(hù)不足 應(yīng)用程序時(shí)常沒有身份認(rèn)證、加密措施，甚至沒有保護(hù)敏感網(wǎng)絡(luò)數(shù)據(jù)的保密性和完整性。由于許多設(shè)置的默認(rèn)值并不是安全的，因此，必須定義、實(shí)施和維護(hù)所有這些設(shè)置。2 跨站腳本 當(dāng)應(yīng)用程序收到含有不可信的數(shù)據(jù)，在沒有進(jìn)行適當(dāng)?shù)尿?yàn)證和轉(zhuǎn)義的情況下，10 / 37就將它發(fā)送給一個(gè)網(wǎng)頁瀏覽器，這就會(huì)產(chǎn)生跨站腳本攻擊（簡(jiǎn)稱 XSS）。 使用對(duì)象本規(guī)范的讀者及使用對(duì)象主要為 Web 相關(guān)的需求分析人員、設(shè)計(jì)人員、開發(fā)人員、測(cè)試人員等。配置管理 未授權(quán)訪問管理界面、更新配置數(shù)據(jù)、訪問用戶帳戶和帳戶配置文件。為了防止一些惡意輸入，還要對(duì)輸入的數(shù)據(jù)和參數(shù)進(jìn)行校驗(yàn)。黑客攻擊技術(shù)越來越成熟和大眾化，針對(duì) Web 的攻擊和破壞不斷增長(zhǎng)， Web 安全風(fēng)險(xiǎn)達(dá)到了前所未有的高度。DKBA華為技術(shù)有限公司內(nèi)部技術(shù)規(guī)范DKBA Web 應(yīng)用安全開發(fā)規(guī)范 2022 年 XX 月 XX 日發(fā)布 2022 年 XX 月 XX 日實(shí)施華為技術(shù)有限公司Huawei Technologies Co., Ltd.版權(quán)所有 侵權(quán)必究All rights reserved修訂聲明 Revision declaration本規(guī)范擬制與解釋部門：網(wǎng)絡(luò)安全能力中心amp。許多程序員不知道如何開發(fā)安全的應(yīng)用程序，開發(fā)出來的 Web 應(yīng)用存在較多的安全漏洞，這些安全漏洞一旦被黑客利用將導(dǎo)致嚴(yán)重甚至是災(zāi)難性的后果。另外還要考慮 Web 系統(tǒng)的安全配置，敏感數(shù)據(jù)的保護(hù)和用戶的權(quán)限管理，以及所有操作的安全審計(jì)。敏感數(shù)據(jù) 機(jī)密信息泄漏和數(shù)據(jù)篡改。 適用范圍本規(guī)范的制定考慮了公司各種 Web 應(yīng)用開發(fā)的共性，適合于公司絕大部分 Web 產(chǎn)品，要求 Web 產(chǎn)品開發(fā)必須遵循。XSS 允許攻擊者在受害者的瀏覽器上執(zhí)行腳本，從而劫持用戶會(huì)話、危害網(wǎng)站、或者將用戶轉(zhuǎn)向至惡意網(wǎng)站。這包括了對(duì)所有的軟件保護(hù)及時(shí)地更新，包括所有應(yīng)用程序的庫文件。而當(dāng)進(jìn)行保護(hù)時(shí)，應(yīng)用程序有時(shí)采用弱算法、使用過期或無效的證書，或不正確地使用這些技術(shù)。說明：這樣便于通過防火墻的訪問控制策略和 Web 應(yīng)用來控制不同訪問等級(jí)的訪問，比如通過防火墻策略控制，只允許內(nèi)網(wǎng)訪問管理 Portal。如果覺得驗(yàn)證碼影響用戶體驗(yàn)，那么可以在前 3 次登錄嘗試中不使用驗(yàn)證碼，3 次登錄失敗后必須使用驗(yàn)證碼。說明：可以存在多個(gè)登錄頁面，但是不允許存在多個(gè)可用于處理登錄認(rèn)證請(qǐng)求的模塊，防止不一致的認(rèn)證方式。實(shí)施指導(dǎo)：將最終用戶 portal 和管理 portal 分別部署在不同的物理服務(wù)器；如果為了解決成本合設(shè)（部署在同一臺(tái)物理服務(wù)器上），那么，必須做到端口分離（通過不同的端口提供 Web 服務(wù)），一般的 Web 容器（如 tomcat）支持為不同的 Web 應(yīng)用創(chuàng)建不同的端口。Cookie cookie = new Cookie(JSESSIONID,())。說明：如雙因素認(rèn)證、SSL 雙向證書認(rèn)證、生物認(rèn)證等；還可以通過應(yīng)用程序限制只允許某些特定的 IP 地址訪問管理頁面，并且這些特定的 IP 地址可配置。特別說明：鎖客戶端 IP 策略存在缺陷，當(dāng)用戶使用 proxy 上網(wǎng)時(shí)，那么鎖定客戶端 IP 會(huì)導(dǎo)致使用該 proxy 上網(wǎng)的所有用戶在 IP 鎖定期間都不能使用該 Web應(yīng)用；鎖定用戶帳戶的策略也存在缺陷，當(dāng)攻擊者不斷嘗試某帳戶的口令，就給該帳戶帶來拒絕服務(wù)攻擊，使該帳戶不可用。15 / 37說明：對(duì)于 java 語言可以使用類 來生成安全的隨機(jī)數(shù)。（cookie 有兩種：會(huì)話 cookie 和持久性 cookie；會(huì)話 cookie，也就是非持久性 cookie，不設(shè)置過期時(shí)間，其生命期為瀏覽器會(huì)話期間，只要關(guān)閉瀏覽器窗口，cookie 就消失了；會(huì)話 cookie 一般不存儲(chǔ)在硬盤上而是保存在內(nèi)存里。說明： 非法會(huì)話的概念就是通過一系列的服務(wù)端合法性檢測(cè)（包括訪問未授權(quán)資源，缺少16 / 37必要參數(shù)等情況），最終發(fā)現(xiàn)的不是正常請(qǐng)求產(chǎn)生的會(huì)話。如果沒有特殊需求，禁止使用自動(dòng)發(fā)起請(qǐng)求的機(jī)制來阻止 session 超時(shí)。? 服務(wù)端必須對(duì)客戶端提交的 session ID 的有效性進(jìn)行校驗(yàn)。規(guī)則 ：一個(gè)帳號(hào)只能擁有必需的角色和必需的權(quán)限。不能使用“sa”、“sysman”等管理帳號(hào)或高級(jí)別權(quán)限帳號(hào)。規(guī)則 ：禁止在 cookie 中以明文形式存儲(chǔ)敏感數(shù)據(jù)。推薦的不可逆加密算法： SHA25SHA384 、SHA512，HMACSHA256 、HMACSHA38HMACSHA512 。 %注意：以上代碼對(duì)于采用強(qiáng)制緩存策略的代理服務(wù)器不生效（代理服務(wù)器默認(rèn)是不緩存的），要防止代理服務(wù)器緩存頁面，可以在鏈接后加入一個(gè)隨機(jī)數(shù) pageid,此時(shí)鏈接變成： 其中 2245562 數(shù)字是隨機(jī)生成的，每次請(qǐng)求此頁面時(shí)，隨機(jī)數(shù)都不同，IE 始終認(rèn)為此為一個(gè)新請(qǐng)求 ，并重新解析，生成新的響應(yīng)頁面。2. Web 應(yīng)用中，從 切換到 過程中會(huì)丟失 session，無法保持會(huì)話的連續(xù)。21 / 37 安全審計(jì)本節(jié)的安全審計(jì)是針對(duì) Web 業(yè)務(wù)應(yīng)用，不包括對(duì)操作系統(tǒng)、 Web 容器的安全審計(jì)。規(guī)則 ：對(duì)日志模塊占用資源必須有相應(yīng)的限制機(jī)制。說明：在生成安全日志時(shí)，即時(shí)將日志保存到網(wǎng)絡(luò)上其他主機(jī)，而且生成安全日志的應(yīng)用程序不能再訪問存放在其他主機(jī)的日志。實(shí)施指導(dǎo)：方案 1：請(qǐng)參考《附件 2 Web Service 安全接入開發(fā)指導(dǎo)》。說明：日志內(nèi)容包括但不限于如下內(nèi)容：調(diào)用時(shí)間、操作類型、調(diào)用接口名稱、詳細(xì)的接口參數(shù)、客戶端 IP、客戶端機(jī)器名、調(diào)用者的用戶標(biāo)識(shí)、受影響的個(gè)體（數(shù)據(jù)、資源）、成功或失敗標(biāo)識(shí)。對(duì)于安全性要求不高、只向同一信任域內(nèi)其他主機(jī)開放的 Web Service 接口，可以通過簡(jiǎn)單的 IP 認(rèn)證來實(shí)現(xiàn)接口的認(rèn)證（只有服務(wù)器端指定 IP 地址的客戶端才允許調(diào)用， IP 地址可配置）。說明：日志內(nèi)容包括但不限于如下內(nèi)容：調(diào)用時(shí)間、操作類型、調(diào)用接口名稱、詳細(xì)的接口參數(shù)、客戶端 IP、客戶端機(jī)器名、調(diào)用者的用戶標(biāo)識(shí)、受影響的個(gè)體（數(shù)據(jù)、資源）、成功或失敗標(biāo)識(shí)。實(shí)施指導(dǎo)：對(duì)于 DWR 接口的認(rèn)證直接沿用 認(rèn)證機(jī)制，不用單獨(dú)再做認(rèn)證。規(guī)則 ：必須對(duì)所有服務(wù)器產(chǎn)生的輸入進(jìn)行校驗(yàn)，一旦數(shù)據(jù)不合法，必須使會(huì)話失效，并記錄告警日志。規(guī)則 ：不能依賴于客戶端校驗(yàn)，必須使用服務(wù)端代碼對(duì)輸入數(shù)據(jù)進(jìn)行最終校驗(yàn)。 //正則表達(dá)式表示是否全為數(shù)字if (! (characterPattern))26 / 37{ (“Invalid Input”)。實(shí)施指導(dǎo)：String text = (text)。說明：禁止通過字符串串聯(lián)直接使用用戶輸入構(gòu)造可執(zhí)行 SQL 語句，如：string sql = select status from Users where UserName=39。PreparedStatement stmt = null。pstmt = (express)。動(dòng)態(tài)構(gòu)建 XPath 語句的例子：public boolean doLogin(String loginID, String password){......XPathExpression expr = (//users/user[loginID/text()=39。balance=0，這樣， balance=0 的信息就被在存儲(chǔ)到了 JavaBean 中了，而 balance 是整個(gè)會(huì)話中用來存儲(chǔ)總費(fèi)用的，當(dāng)他們這時(shí)點(diǎn)擊“chekout”結(jié)賬的時(shí)候，費(fèi)用就全免了。說明：不可信的數(shù)據(jù)（也就是其他業(yè)務(wù)系統(tǒng)生成的未經(jīng)本應(yīng)用程序驗(yàn)證的表數(shù)據(jù)或文件數(shù)29 / 37據(jù)），通過對(duì)輸出到客戶端的數(shù)據(jù)進(jìn)行編碼，可以防止瀏覽器將 HTML 視為可執(zhí)行腳本，從而防止跨站腳本攻擊。OutStr = (\,)。 上傳下載規(guī)則 ：必須在服務(wù)器端采用白名單方式對(duì)上傳或下載的文件類型、大小進(jìn)行嚴(yán)格的限制。說明：應(yīng)用程序出現(xiàn)異常時(shí)，禁止將數(shù)據(jù)庫版本、數(shù)據(jù)庫結(jié)構(gòu)、操作系統(tǒng)版本、堆棧跟蹤、文件名和路徑信息、SQL 查詢字符串等對(duì)攻擊者有用的信息返回給客戶端。規(guī)則 ：對(duì)于動(dòng)態(tài)頁面不使用普通注釋，只使用隱藏注釋。說明：惡意用戶可以通過 URL 之類的文件，Web 服務(wù)器會(huì)將這些文件以文本方式呈現(xiàn)給惡意用戶，造成代碼的泄漏，嚴(yán)重威脅 Web 應(yīng)用的安全。說明：這里的“調(diào)試用的代碼”是指開發(fā)過程中進(jìn)行臨時(shí)調(diào)試所用的、在 Web 應(yīng)用運(yùn)行過程