【正文】 中不需要使用到的 Web 頁面代碼或 servlet 代碼。實施指導(dǎo)：方法一：為每個session創(chuàng)建唯一的隨機字符串，并在受理請求時驗證form action=/ method=post input type=hidden name=randomStr value=%=().getAttribute(randomStr)% ....../form//判斷客戶端提交的隨機字符串是否正確String randomStr = (String)(randomStr)。攻擊者可以迫使用戶去執(zhí)行攻擊者預(yù)先設(shè)置的操作，例如，如果用戶登錄網(wǎng)絡(luò)銀行去查看其存款余額，他沒有退出網(wǎng)絡(luò)銀行系統(tǒng)就去了自己喜歡的論壇去灌水，如果攻擊者在論壇中精心構(gòu)造了一個惡意的鏈接并誘使該用戶點擊了該鏈接，那么該用戶在網(wǎng)絡(luò)銀行帳戶中的資金就有可能被轉(zhuǎn)移到攻擊者指定的帳戶中。因此，歸檔的頁面程序文件的擴展名必須使用小寫字母，如 jsp、html、htm、asp 等頁面程序文件的擴展名分別為 jsp、html、htm、asp。(str)。規(guī)則 ：在注釋信息中禁止包含 SQL 語句信息。30 / 37說明：Web 內(nèi)容目錄指的是：通過 Web 可以直接瀏覽、訪問的目錄，存放在 Web 內(nèi)容目錄下的文件容易被攻擊者直接下載。% 語言可以通過 HtmlEncode 方法對 HTML 的輸出進行編碼。OutStr = (,)。|符號，非常容易構(gòu)造命令注入，危害系統(tǒng)）。說明：property=*這表明用戶在可見的 JSP 頁面中輸入的，或是直接通過 Query String 提交的參數(shù)值，將存儲到與參數(shù)名相匹配的 bean 屬性中。規(guī)則 ：禁止動態(tài)構(gòu)建 XPath 語句。()。因此，多次執(zhí)行的 SQL 語句經(jīng)常創(chuàng)建為 PreparedStatement 對象，還可以提高效率。說明：如果輸入數(shù)據(jù)是數(shù)值，必須校驗數(shù)值的范圍是否正確，如年齡應(yīng)該為 0～150 之間的27 / 37正整數(shù)。}規(guī)則 ：如果輸入為字符串參數(shù)則必須進行字符型合法性判斷。實施指導(dǎo)：String mobileno = (mobileno)。例如，標題頭中的 referer 字段包含來自請求源端的 Web 頁面的 URL。4 Web 編程安全規(guī)范 輸入校驗規(guī)則 ：必須對所有用戶產(chǎn)生的輸入進行校驗，一旦數(shù)據(jù)不合法，應(yīng)該告知用戶輸入非25 / 37法并且建議用戶糾正輸入。實施指導(dǎo)：修改對應(yīng)的 文件中的 debug 參數(shù)值為 false：servlet servletnamedwrinvoker/servletname servletclass/servletclass initparam paramnamedebug/paramname paramvaluefalse/paramvalue /initparam......規(guī)則 ：對 DWR 接口的調(diào)用必須進行認證。實施指導(dǎo)：請參考《附件 3 客戶端 IP 鑒權(quán)實施指導(dǎo)》。實施指導(dǎo)：客戶端發(fā)起的 Restful 請求需要在消息頭帶 Authorization 字段，內(nèi)容填 Basic Base64(user:pass)，服務(wù)端對 user 和 passwd 進行認證。實施指導(dǎo)：請參考《附件 3 客戶端 IP 鑒權(quán)實施指導(dǎo)》。實施指導(dǎo)：可以通過 Axis 的 handler 對調(diào)用進行鑒權(quán)。可以配置定期備份及清理的時間，可以配置以用于存放安全日志的磁盤空間使用率達到多少時進行備份及清理。說明：只有 Web 應(yīng)用程序的管理員才能查詢數(shù)據(jù)庫表形式或文件形式的安全日志；除數(shù)據(jù)庫超級管理員外，只有應(yīng)用程序連接數(shù)據(jù)庫的帳號可以查詢（select）及插入（insert）安全日志表；除操作系統(tǒng)超級管理員外，只有應(yīng)用程序的運行帳戶才能讀、寫文件形式的安全日志（但不允許刪除）。規(guī)則 ：禁止將對用戶保密的信息傳送到客戶端。由于 SSL 對服務(wù)端的 CPU 資源消耗很大，實施時必須考慮服務(wù)器的承受能力。 (Pragma,nocache)。場景 2：后臺服務(wù)端保存用戶的登錄口令在該場景下，一般情況是：客戶端提交用戶名及用戶口令，后臺服務(wù)端對用戶名及用戶口令進行驗證，然后返回驗證的結(jié)果。說明：密鑰或帳號的口令必須經(jīng)過加密存儲。規(guī)則 ：對于應(yīng)用程序連接數(shù)據(jù)庫服務(wù)器的數(shù)據(jù)庫帳號，在滿足業(yè)務(wù)需求的前提下，必須使用最低級別權(quán)限的數(shù)據(jù)庫帳號。規(guī)則 ：授權(quán)和用戶角色數(shù)據(jù)必須存放在服務(wù)器端，不能存放在客戶端，鑒權(quán)處理也必須在服務(wù)器端完成。規(guī)則 ：如果產(chǎn)品（如嵌入式系統(tǒng)）無法使用通用的 Web 容器，只能自己實現(xiàn) Web 服務(wù)，那么必須自己實現(xiàn)會話管理，并滿足以下要求：? 采用會話 cookie 維持會話。規(guī)則 ：必須設(shè)置會話超時機制，在超時過后必須要清除該會話信息。對 JSP 語言，就是應(yīng)該通過 session 對象進行存儲和維護。說明：目前主流的 Web 容器通過以下幾種方式維持會話：隱藏域、 URL 重寫、持久性cookie、會話 cookie，但通過隱藏域、URL 重寫或持久性 cookie 方式維持的會話容易被竊取，所以要求使用會話 cookie 維持會話。說明：在客戶端網(wǎng)頁上點擊鼠標右鍵、選擇“查看源文件”時，必須看不到驗證碼模塊生成的隨機數(shù)。建議優(yōu)先使用帳號鎖定策略。(true)。實施指導(dǎo)：場景一：對于從 HTTP 轉(zhuǎn)到 HTTPS 再轉(zhuǎn)到 HTTP（也就是僅在認證過程采用 HTTPS，認證成功后又轉(zhuǎn)到 HTTP）的，在用戶名和密碼認證通過后增加以下行代碼：().invalidate()。規(guī)則 ：最終用戶 portal 和管理 portal 分離。說明：如果驗證碼和用戶名、密碼分開提交，攻擊者就可以繞過驗證碼校驗（如：先手工提交正確的驗證碼，再通過程序暴力破解），驗證碼就形同虛設(shè)，攻擊者依然可以暴力破解用戶名及口令。規(guī)則 ：網(wǎng)頁上的登錄/認證表單必須加入驗證碼。建議 ：Web 服務(wù)器與應(yīng)用服務(wù)器需物理分離（即安裝在不同的主機上），以提高應(yīng)用的安全性。攻擊者可能利用這種弱保護數(shù)據(jù)實行身份盜竊、信用卡欺騙或或其他犯罪。6 安全配置錯誤 好的安全需要對應(yīng)用程序、框架、應(yīng)用程序服務(wù)器、Web 服務(wù)器、數(shù)據(jù)庫服務(wù)器和平臺，定義和執(zhí)行安全配置。攻擊者發(fā)送的惡意數(shù)據(jù)可以欺騙解釋器，以執(zhí)行計劃外的命令或者訪問未被授權(quán)的數(shù)據(jù)。異常管理 拒絕服務(wù)和敏感的系統(tǒng)級詳細信息泄露。權(quán)限管理 訪問機密或受限數(shù)據(jù)、篡改和執(zhí)行未授權(quán)操作。由于 HTTP 的開放性，Web 應(yīng)用程序必須能夠通過某種形式的身份驗證來識別用戶，并確保身份驗證過程是安全的，同樣必須很好地保護用于跟蹤已驗證用戶的會話處理機制。增加了“ DWR”何偉祥 00162822吳淑榮 00197720魏建雄 00222906謝和坤 00197709李田 00042091孫波 00175839王偉 00207440陳偉 00141500增加“規(guī)則、規(guī)則、規(guī)則、建議、 PHP”增加“ RESTful Web 4 / 37規(guī)范號 主要起草部門專家 主要評審部門專家 修訂情況朱雙紅 00051429 Service”修改“規(guī)則、規(guī)則、規(guī)則、規(guī)則”刪除“ 口令策略”和“規(guī)則、規(guī)則、規(guī)則”附件文檔作為對象直接插入主文檔5 / 37目 錄 Table of Contents1 概述 ...........................................................................................................................................7 背景簡介 ...................................................................................................................................7 技術(shù)框架 ...................................................................................................................................8 使用對象 ...................................................................................................................................9 適用范圍 ...................................................................................................................................9 用詞約定 ...................................................................................................................................92 常見WEB安全漏洞 ...............................................................................................................103 WEB設(shè)計安全規(guī)范 ...............................................................................................................11 WEB部署要求 .........................................................................................................................11 身份驗證 .................................................................................................................................12 口令 ..............................................................................................................12 認證 ..............................................................................................................12 驗證碼 ..........................................................................................................15 會話管理 .................................................................................................................................16 權(quán)限管理 .................................................................................................................................17 敏感數(shù)據(jù)保護 .........................................................................................................................18 敏感數(shù)據(jù)定義 ..............................................................................................18 敏感數(shù)據(jù)存儲 ..............................................................................................18 敏感數(shù)據(jù)傳輸 ..............................................................................................20 安全審計 .................................................................................................................................21 WEB SERVICE ......................