【正文】 中不需要使用到的 Web 頁(yè)面代碼或 servlet 代碼。實(shí)施指導(dǎo)：方法一：為每個(gè)session創(chuàng)建唯一的隨機(jī)字符串，并在受理請(qǐng)求時(shí)驗(yàn)證form action=/ method=post input type=hidden name=randomStr value=%=().getAttribute(randomStr)% ....../form//判斷客戶(hù)端提交的隨機(jī)字符串是否正確String randomStr = (String)(randomStr)。攻擊者可以迫使用戶(hù)去執(zhí)行攻擊者預(yù)先設(shè)置的操作，例如，如果用戶(hù)登錄網(wǎng)絡(luò)銀行去查看其存款余額，他沒(méi)有退出網(wǎng)絡(luò)銀行系統(tǒng)就去了自己喜歡的論壇去灌水，如果攻擊者在論壇中精心構(gòu)造了一個(gè)惡意的鏈接并誘使該用戶(hù)點(diǎn)擊了該鏈接，那么該用戶(hù)在網(wǎng)絡(luò)銀行帳戶(hù)中的資金就有可能被轉(zhuǎn)移到攻擊者指定的帳戶(hù)中。因此，歸檔的頁(yè)面程序文件的擴(kuò)展名必須使用小寫(xiě)字母，如 jsp、html、htm、asp 等頁(yè)面程序文件的擴(kuò)展名分別為 jsp、html、htm、asp。(str)。規(guī)則 ：在注釋信息中禁止包含 SQL 語(yǔ)句信息。30 / 37說(shuō)明：Web 內(nèi)容目錄指的是：通過(guò) Web 可以直接瀏覽、訪(fǎng)問(wèn)的目錄，存放在 Web 內(nèi)容目錄下的文件容易被攻擊者直接下載。% 語(yǔ)言可以通過(guò) HtmlEncode 方法對(duì) HTML 的輸出進(jìn)行編碼。OutStr = (,)。|符號(hào)，非常容易構(gòu)造命令注入，危害系統(tǒng)）。說(shuō)明：property=*這表明用戶(hù)在可見(jiàn)的 JSP 頁(yè)面中輸入的，或是直接通過(guò) Query String 提交的參數(shù)值，將存儲(chǔ)到與參數(shù)名相匹配的 bean 屬性中。規(guī)則 ：禁止動(dòng)態(tài)構(gòu)建 XPath 語(yǔ)句。()。因此，多次執(zhí)行的 SQL 語(yǔ)句經(jīng)常創(chuàng)建為 PreparedStatement 對(duì)象，還可以提高效率。說(shuō)明：如果輸入數(shù)據(jù)是數(shù)值，必須校驗(yàn)數(shù)值的范圍是否正確，如年齡應(yīng)該為 0～150 之間的27 / 37正整數(shù)。}規(guī)則 ：如果輸入為字符串參數(shù)則必須進(jìn)行字符型合法性判斷。實(shí)施指導(dǎo)：String mobileno = (mobileno)。例如，標(biāo)題頭中的 referer 字段包含來(lái)自請(qǐng)求源端的 Web 頁(yè)面的 URL。4 Web 編程安全規(guī)范 輸入校驗(yàn)規(guī)則 ：必須對(duì)所有用戶(hù)產(chǎn)生的輸入進(jìn)行校驗(yàn)，一旦數(shù)據(jù)不合法，應(yīng)該告知用戶(hù)輸入非25 / 37法并且建議用戶(hù)糾正輸入。實(shí)施指導(dǎo)：修改對(duì)應(yīng)的 文件中的 debug 參數(shù)值為 false：servlet servletnamedwrinvoker/servletname servletclass/servletclass initparam paramnamedebug/paramname paramvaluefalse/paramvalue /initparam......規(guī)則 ：對(duì) DWR 接口的調(diào)用必須進(jìn)行認(rèn)證。實(shí)施指導(dǎo)：請(qǐng)參考《附件 3 客戶(hù)端 IP 鑒權(quán)實(shí)施指導(dǎo)》。實(shí)施指導(dǎo)：客戶(hù)端發(fā)起的 Restful 請(qǐng)求需要在消息頭帶 Authorization 字段，內(nèi)容填 Basic Base64(user:pass)，服務(wù)端對(duì) user 和 passwd 進(jìn)行認(rèn)證。實(shí)施指導(dǎo)：請(qǐng)參考《附件 3 客戶(hù)端 IP 鑒權(quán)實(shí)施指導(dǎo)》。實(shí)施指導(dǎo)：可以通過(guò) Axis 的 handler 對(duì)調(diào)用進(jìn)行鑒權(quán)。可以配置定期備份及清理的時(shí)間，可以配置以用于存放安全日志的磁盤(pán)空間使用率達(dá)到多少時(shí)進(jìn)行備份及清理。說(shuō)明：只有 Web 應(yīng)用程序的管理員才能查詢(xún)數(shù)據(jù)庫(kù)表形式或文件形式的安全日志；除數(shù)據(jù)庫(kù)超級(jí)管理員外，只有應(yīng)用程序連接數(shù)據(jù)庫(kù)的帳號(hào)可以查詢(xún)（select）及插入（insert）安全日志表；除操作系統(tǒng)超級(jí)管理員外，只有應(yīng)用程序的運(yùn)行帳戶(hù)才能讀、寫(xiě)文件形式的安全日志（但不允許刪除）。規(guī)則 ：禁止將對(duì)用戶(hù)保密的信息傳送到客戶(hù)端。由于 SSL 對(duì)服務(wù)端的 CPU 資源消耗很大，實(shí)施時(shí)必須考慮服務(wù)器的承受能力。 (Pragma,nocache)。場(chǎng)景 2：后臺(tái)服務(wù)端保存用戶(hù)的登錄口令在該場(chǎng)景下，一般情況是：客戶(hù)端提交用戶(hù)名及用戶(hù)口令，后臺(tái)服務(wù)端對(duì)用戶(hù)名及用戶(hù)口令進(jìn)行驗(yàn)證，然后返回驗(yàn)證的結(jié)果。說(shuō)明：密鑰或帳號(hào)的口令必須經(jīng)過(guò)加密存儲(chǔ)。規(guī)則 ：對(duì)于應(yīng)用程序連接數(shù)據(jù)庫(kù)服務(wù)器的數(shù)據(jù)庫(kù)帳號(hào)，在滿(mǎn)足業(yè)務(wù)需求的前提下，必須使用最低級(jí)別權(quán)限的數(shù)據(jù)庫(kù)帳號(hào)。規(guī)則 ：授權(quán)和用戶(hù)角色數(shù)據(jù)必須存放在服務(wù)器端，不能存放在客戶(hù)端，鑒權(quán)處理也必須在服務(wù)器端完成。規(guī)則 ：如果產(chǎn)品（如嵌入式系統(tǒng)）無(wú)法使用通用的 Web 容器，只能自己實(shí)現(xiàn) Web 服務(wù)，那么必須自己實(shí)現(xiàn)會(huì)話(huà)管理，并滿(mǎn)足以下要求：? 采用會(huì)話(huà) cookie 維持會(huì)話(huà)。規(guī)則 ：必須設(shè)置會(huì)話(huà)超時(shí)機(jī)制，在超時(shí)過(guò)后必須要清除該會(huì)話(huà)信息。對(duì) JSP 語(yǔ)言，就是應(yīng)該通過(guò) session 對(duì)象進(jìn)行存儲(chǔ)和維護(hù)。說(shuō)明：目前主流的 Web 容器通過(guò)以下幾種方式維持會(huì)話(huà)：隱藏域、 URL 重寫(xiě)、持久性cookie、會(huì)話(huà) cookie，但通過(guò)隱藏域、URL 重寫(xiě)或持久性 cookie 方式維持的會(huì)話(huà)容易被竊取，所以要求使用會(huì)話(huà) cookie 維持會(huì)話(huà)。說(shuō)明：在客戶(hù)端網(wǎng)頁(yè)上點(diǎn)擊鼠標(biāo)右鍵、選擇“查看源文件”時(shí)，必須看不到驗(yàn)證碼模塊生成的隨機(jī)數(shù)。建議優(yōu)先使用帳號(hào)鎖定策略。(true)。實(shí)施指導(dǎo)：場(chǎng)景一：對(duì)于從 HTTP 轉(zhuǎn)到 HTTPS 再轉(zhuǎn)到 HTTP（也就是僅在認(rèn)證過(guò)程采用 HTTPS，認(rèn)證成功后又轉(zhuǎn)到 HTTP）的，在用戶(hù)名和密碼認(rèn)證通過(guò)后增加以下行代碼：().invalidate()。規(guī)則 ：最終用戶(hù) portal 和管理 portal 分離。說(shuō)明：如果驗(yàn)證碼和用戶(hù)名、密碼分開(kāi)提交，攻擊者就可以繞過(guò)驗(yàn)證碼校驗(yàn)（如：先手工提交正確的驗(yàn)證碼，再通過(guò)程序暴力破解），驗(yàn)證碼就形同虛設(shè)，攻擊者依然可以暴力破解用戶(hù)名及口令。規(guī)則 ：網(wǎng)頁(yè)上的登錄/認(rèn)證表單必須加入驗(yàn)證碼。建議 ：Web 服務(wù)器與應(yīng)用服務(wù)器需物理分離（即安裝在不同的主機(jī)上），以提高應(yīng)用的安全性。攻擊者可能利用這種弱保護(hù)數(shù)據(jù)實(shí)行身份盜竊、信用卡欺騙或或其他犯罪。6 安全配置錯(cuò)誤 好的安全需要對(duì)應(yīng)用程序、框架、應(yīng)用程序服務(wù)器、Web 服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器和平臺(tái)，定義和執(zhí)行安全配置。攻擊者發(fā)送的惡意數(shù)據(jù)可以欺騙解釋器，以執(zhí)行計(jì)劃外的命令或者訪(fǎng)問(wèn)未被授權(quán)的數(shù)據(jù)。異常管理 拒絕服務(wù)和敏感的系統(tǒng)級(jí)詳細(xì)信息泄露。權(quán)限管理 訪(fǎng)問(wèn)機(jī)密或受限數(shù)據(jù)、篡改和執(zhí)行未授權(quán)操作。由于 HTTP 的開(kāi)放性，Web 應(yīng)用程序必須能夠通過(guò)某種形式的身份驗(yàn)證來(lái)識(shí)別用戶(hù)，并確保身份驗(yàn)證過(guò)程是安全的，同樣必須很好地保護(hù)用于跟蹤已驗(yàn)證用戶(hù)的會(huì)話(huà)處理機(jī)制。增加了“ DWR”何偉祥 00162822吳淑榮 00197720魏建雄 00222906謝和坤 00197709李田 00042091孫波 00175839王偉 00207440陳偉 00141500增加“規(guī)則、規(guī)則、規(guī)則、建議、 PHP”增加“ RESTful Web 4 / 37規(guī)范號(hào) 主要起草部門(mén)專(zhuān)家 主要評(píng)審部門(mén)專(zhuān)家 修訂情況朱雙紅 00051429 Service”修改“規(guī)則、規(guī)則、規(guī)則、規(guī)則”刪除“ 口令策略”和“規(guī)則、規(guī)則、規(guī)則”附件文檔作為對(duì)象直接插入主文檔5 / 37目 錄 Table of Contents1 概述 ...........................................................................................................................................7 背景簡(jiǎn)介 ...................................................................................................................................7 技術(shù)框架 ...................................................................................................................................8 使用對(duì)象 ...................................................................................................................................9 適用范圍 ...................................................................................................................................9 用詞約定 ...................................................................................................................................92 常見(jiàn)WEB安全漏洞 ...............................................................................................................103 WEB設(shè)計(jì)安全規(guī)范 ...............................................................................................................11 WEB部署要求 .........................................................................................................................11 身份驗(yàn)證 .................................................................................................................................12 口令 ..............................................................................................................12 認(rèn)證 ..............................................................................................................12 驗(yàn)證碼 ..........................................................................................................15 會(huì)話(huà)管理 .................................................................................................................................16 權(quán)限管理 .................................................................................................................................17 敏感數(shù)據(jù)保護(hù) .........................................................................................................................18 敏感數(shù)據(jù)定義 ..............................................................................................18 敏感數(shù)據(jù)存儲(chǔ) ..............................................................................................18 敏感數(shù)據(jù)傳輸 ..............................................................................................20 安全審計(jì) .................................................................................................................................21 WEB SERVICE ......................