【正文】 添加帳號(hào)的功能，開(kāi)發(fā)人員臨時(shí)編寫(xiě)了一個(gè) JSP 頁(yè)面進(jìn)行測(cè)試，那么在歸檔時(shí)，該 JSP 頁(yè)面必須刪除，以免被攻擊者利用。if(randomStr == null) randomStr=。說(shuō)明：跨站請(qǐng)求偽造（CSRF）是一種挾制終端用戶在當(dāng)前已登錄的 Web 應(yīng)用程序上執(zhí)行非本意的操作的攻擊方法。攻擊者可以通過(guò)查看源碼獲得這些程序的源代碼。31 / 37/*隱藏注釋 3*/str = (,)。規(guī)則 ：在注釋信息中禁止包含數(shù)據(jù)庫(kù)連接信息。規(guī)則 ：禁止將敏感文件（如日志文件、配置文件、數(shù)據(jù)庫(kù)文件等）存放在 Web 內(nèi)容目錄下。(OutStr)。)。amp。......}規(guī)則 ：在 JavaBean 中禁止使用 property=*進(jìn)行參數(shù)賦值。()。(4, birthday)。而且，由于 PreparedStatement 對(duì)象已預(yù)編譯過(guò)，所以其執(zhí)行速度要快于 Statement 對(duì)象。規(guī)則 ：校驗(yàn)輸入數(shù)據(jù)的范圍。 // 正則表達(dá)式if (!(characterPattern)){ (“Invalid Email Address”)。說(shuō)明：這里的數(shù)字參數(shù)指的是完全由數(shù)字組成的數(shù)據(jù)。Web 應(yīng)用程序必須確保不以 HTTP 標(biāo)題頭中的任何未加密信息作為安全決策依據(jù)，因?yàn)楣粽咭僮鬟@一標(biāo)題頭是很容易的。說(shuō)明：具體輸入校驗(yàn)部分請(qǐng)查看 輸入校驗(yàn)。說(shuō)明：如果開(kāi)啟了 DWR 調(diào)試功能，那么攻擊者可以輕易查看和調(diào)用系統(tǒng)提供的所有 DWR接口，所以，版本發(fā)布時(shí)，一定要關(guān)閉 DWR 調(diào)試功能。規(guī)則 ：如果 RESTful Web Service 只對(duì)特定的 IP 開(kāi)放，那么必須對(duì)調(diào)用 RESTful Web Service 的客戶端 IP 進(jìn)行鑒權(quán)，只有在 IP 地址白名單中的客戶端才允許調(diào)用， IP 地址白名單可配置。說(shuō)明：認(rèn)證就是確定誰(shuí)在調(diào)用 RESTful Web Service，并且證實(shí)調(diào)用者身份。規(guī)則 ：如果 Web Service 只對(duì)特定的 IP 開(kāi)放，那么必須對(duì)調(diào)用 Web Service 接口的客戶端 IP 進(jìn)行鑒權(quán)，只有在 IP 地址白名單中的客戶端才允許調(diào)用，IP 地址白名單可配置。說(shuō)明：鑒權(quán)就是判斷調(diào)用者是否有權(quán)限調(diào)用該 Web Service 接口。說(shuō)明：備份及清理機(jī)制包括定期備份及清理安全日志和監(jiān)控用于存放安全日志的磁盤(pán)空間的使用情況。規(guī)則 ：嚴(yán)格限制對(duì)安全日志的訪問(wèn)。說(shuō)明：由于瀏覽器會(huì)保存 URL 歷史記錄，如果 URL 中攜帶會(huì)話標(biāo)識(shí)，則在多人共用的 PC上會(huì)話標(biāo)識(shí)容易被其他人看到，一旦該會(huì)話標(biāo)識(shí)還在其生命有效期，則惡意用戶可以冒充受害用戶訪問(wèn) Web 應(yīng)用系統(tǒng)。說(shuō)明：如果在客戶端和服務(wù)器間傳遞如帳號(hào)、口令等明文的敏感數(shù)據(jù)，必須使用帶服務(wù)器端證書(shū)的 SSL。實(shí)施指導(dǎo)：在 HTML 頁(yè)面的HEAD標(biāo)簽內(nèi)加入如下代碼：HEADMETA HTTPEQUIV=Expires CONTENT=0 META HTTPEQUIV=Pragma CONTENT=nocache META HTTPEQUIV=Cachecontrol CONTENT=nocache META HTTPEQUIV=Cache CONTENT=nocache /HEAD在 JSP 頁(yè)面的最前面加入如下代碼：% (CacheControl,nocache)。推薦的對(duì)稱加密算法：AES12AES19AES256。規(guī)則 ：禁止密鑰或帳號(hào)的口令以明文形式存儲(chǔ)在數(shù)據(jù)庫(kù)或者文件中。規(guī)則 ：對(duì)于運(yùn)行應(yīng)用程序的操作系統(tǒng)帳號(hào)，不應(yīng)使用“root”、“administrator”、“supervisor”等特權(quán)帳號(hào)或高級(jí)別權(quán)限帳號(hào)，應(yīng)該盡可能地使用低級(jí)別權(quán)限的操作系統(tǒng)帳號(hào)。實(shí)施指導(dǎo)： 請(qǐng)參考“ 附件 5 Web 權(quán)限管理設(shè)計(jì)規(guī)格說(shuō)明書(shū) .docx”。說(shuō)明：這樣做是為了讓用戶能夠方便地、安全地注銷(xiāo)或退出，減小會(huì)話劫持的風(fēng)險(xiǎn)。實(shí)施指導(dǎo)：對(duì)于 JSP 或 java 語(yǔ)言使用如下語(yǔ)句： ().invalidate()。禁止通過(guò)隱藏域或 URL 重寫(xiě)等不安全的方式存儲(chǔ)和維護(hù)。 會(huì)話管理規(guī)則 ：使用會(huì)話 cookie 維持會(huì)話。規(guī)則 ：驗(yàn)證碼模塊生成的隨機(jī)數(shù)不能在客戶端的靜態(tài)頁(yè)面中的網(wǎng)頁(yè)源代碼里出現(xiàn)。鎖定時(shí)長(zhǎng)的取值范圍為：0999 分鐘，建議默認(rèn)：30 分鐘，當(dāng)取值為 0 時(shí)，表示無(wú)限期鎖定，只能通過(guò)管理員手動(dòng)解鎖（需要提供管理員對(duì)服務(wù)器鎖定其它用戶帳號(hào)/IP 進(jìn)行解鎖的功能界面）。場(chǎng)景二：對(duì)于全程采用 HTTPS 協(xié)議，或者全程采用 HTTP 協(xié)議的，在用戶名和密碼認(rèn)證通過(guò)后增加以下行代碼：().invalidate()。規(guī)則 ：用戶名和密碼認(rèn)證通過(guò)后，必須更換會(huì)話標(biāo)識(shí)，以防止會(huì)話固定（session fixation）漏洞。說(shuō)明：可以提示：“用戶名或者口令錯(cuò)誤，登錄失敗”；不能提示：“用戶名不存在”、“口令必須是 6 位”等等。規(guī)則 ：用戶名、密碼和驗(yàn)證碼必須在同一個(gè)請(qǐng)求中提交給服務(wù)器，必須先判斷驗(yàn)證碼是否正確，只有當(dāng)驗(yàn)證碼檢驗(yàn)通過(guò)后才進(jìn)行用戶名和密碼的檢驗(yàn)，否則直接提示驗(yàn)證碼錯(cuò)誤。說(shuō)明：不允許僅僅通過(guò)腳本或其他形式在客戶端進(jìn)行驗(yàn)證，必須在應(yīng)用服務(wù)器進(jìn)行最終認(rèn)證處理（如果采用集中認(rèn)證，那么對(duì)用戶的最終認(rèn)證就是放在集中認(rèn)證服務(wù)器進(jìn)行）。說(shuō)明：Web 站點(diǎn)根目錄安裝在非系統(tǒng)卷，如單獨(dú)創(chuàng)建一個(gè)目錄 /home/Web 作為 Web 站點(diǎn)根目錄，能夠防止攻擊者使用目錄遍歷攻擊訪問(wèn)系統(tǒng)工具和可執(zhí)行文件。9 不安全的加密存儲(chǔ)許多 Web 應(yīng)用程序并沒(méi)有使用恰當(dāng)?shù)募用艽胧┗?Hash 算法保護(hù)敏感數(shù)據(jù)，比如信用卡、社會(huì)安全號(hào)碼（SSN）、認(rèn)證憑據(jù)等。這就允許了攻擊者迫使用戶瀏覽器向存在漏洞的應(yīng)用程序發(fā)送請(qǐng)求，而這些請(qǐng)求會(huì)被應(yīng)用程序認(rèn)為是用戶的合法請(qǐng)求。這些攻擊發(fā)生在當(dāng)不可信的數(shù)據(jù)作為命令或者查詢語(yǔ)句的一部分，被發(fā)送給解釋器的時(shí)候。參數(shù)操作 路徑遍歷攻擊、命令執(zhí)行、此外還有跳過(guò)訪問(wèn)控制機(jī)制、導(dǎo)致信息泄露、權(quán)限提升和拒絕服務(wù)。會(huì)話管理 通過(guò)捕獲導(dǎo)致會(huì)話劫持和會(huì)話偽造。上圖各個(gè)區(qū)域中存在任何一點(diǎn)薄弱環(huán)節(jié)，都容易導(dǎo)致安全漏洞。何偉祥 00162822 增加了“規(guī)則”的實(shí)施指導(dǎo)；刪除了“建議”；修改了“6 配套 CBB 介紹”的內(nèi)容和獲取方式。C++語(yǔ)言安全編程規(guī)范》《Java 語(yǔ)言安全編程規(guī)范》相關(guān)國(guó)際規(guī)范或文件一致性：無(wú)替代或作廢的其它規(guī)范或文件：無(wú)相關(guān)規(guī)范或文件的相互關(guān)系：《產(chǎn)品網(wǎng)絡(luò)安全紅線》和《電信軟件與核心網(wǎng)業(yè)務(wù)部安全能力基線》中的 Web 安全要求引用了本規(guī)范的內(nèi)容，如果存在沖突，以本規(guī)范為準(zhǔn)。本規(guī)范就是提供一套完善的、系統(tǒng)化的、實(shí)用的 Web 安全開(kāi)發(fā)方法供 Web 研發(fā)人員使用，以期達(dá)到提高 Web 安全的目的。表 1 列出了一些 Web 缺陷類別，并針對(duì)每類缺陷列出了由于設(shè)計(jì)不當(dāng)可能會(huì)導(dǎo)致的潛在問(wèn)題。安全審計(jì) 未能識(shí)別入侵征兆、無(wú)法證明用戶的操作，以及在問(wèn)題診斷中存在困難。針對(duì)眾多的 Web 漏洞，OWASP 的專家們結(jié)合各自在各領(lǐng)域的應(yīng)用安全工作經(jīng)驗(yàn)及智慧，提出了十大 Web 應(yīng)用程序安全漏洞，幫助人們關(guān)注最嚴(yán)重的漏洞。4 不安全的直接對(duì)象引用當(dāng)開(kāi)發(fā)人員暴露一個(gè)對(duì)內(nèi)部實(shí)現(xiàn)對(duì)象的引用時(shí)，例如，一個(gè)文件、目錄或者數(shù)據(jù)庫(kù)密匙，就會(huì)產(chǎn)生一個(gè)不安全的直接對(duì)象引用。但是，當(dāng)這些頁(yè)面被訪問(wèn)時(shí)，應(yīng)用程序也需要執(zhí)行類似的訪問(wèn)控制檢測(cè)，否則攻擊者將可以偽裝這些 URL 去訪問(wèn)隱藏的網(wǎng)頁(yè)。規(guī)則 ：如果 Web 應(yīng)用對(duì) Inter 開(kāi)放，Web 服務(wù)器應(yīng)該部署在其專用的服務(wù)器上，應(yīng)避免將數(shù)據(jù)庫(kù)服務(wù)器或其他核心應(yīng)用與 Web 服務(wù)器部署在同一臺(tái)主機(jī)上。說(shuō)明：額外的訪問(wèn)限制，可以限制請(qǐng)求來(lái)自企業(yè)內(nèi)網(wǎng)，可以建立 VPN，或采用雙向認(rèn)證的SSL；或采用更簡(jiǎn)單的辦法，通過(guò) IP 地址白名單對(duì)客戶端的 IP 地址進(jìn)行過(guò)濾判斷，實(shí)施參考《附件 3 客戶端 IP 鑒權(quán)實(shí)施指導(dǎo)》。具體實(shí)現(xiàn)細(xì)節(jié)請(qǐng)查看 驗(yàn)證碼。規(guī)則 ：認(rèn)證處理模塊必須對(duì)提交的參數(shù)進(jìn)行合法性檢查。規(guī)則 ：對(duì)于重要的管理事務(wù)或重要的交易事務(wù)要進(jìn)行重新認(rèn)證，以防范會(huì)話劫持和跨站請(qǐng)求偽造給用戶帶來(lái)?yè)p失。(false)。說(shuō)明：登錄失敗應(yīng)該提示用戶：如果重試多少次不成功系統(tǒng)將會(huì)鎖定。說(shuō)明：驗(yàn)證碼不能使用文本格式，不允許多圖片組合（如用四個(gè)圖片拼成的驗(yàn)證碼）。規(guī)則 ：驗(yàn)證碼在一次使用后要求立即失效，新的請(qǐng)求需要重新生成驗(yàn)證碼。）備注：對(duì)于嵌入式系統(tǒng)的 Web，不適合本條規(guī)則，按“規(guī)則 ”實(shí)施。說(shuō)明：防止會(huì)話信息被篡改，如惡意用戶通過(guò) URL 篡改手機(jī)號(hào)碼等。說(shuō)明：客戶端流程控制很容易被旁路（繞過(guò)），因此流程控制必須在服務(wù)器端實(shí)現(xiàn)。另外，為了節(jié)省內(nèi)存，嵌入式 webserver 進(jìn)程往往是動(dòng)態(tài)啟動(dòng)，為了使 session 更快的超時(shí)，建議增加心跳機(jī)制，對(duì)客戶端瀏覽器是否關(guān)閉進(jìn)行探測(cè)，5s 一個(gè)心跳，30s 沒(méi)有心跳則 session 超時(shí)，關(guān)閉該 session。一個(gè)角色只能擁有必需的權(quán)限。18 / 37 敏感數(shù)據(jù)存儲(chǔ)規(guī)則 ：禁止在代碼中存儲(chǔ)敏感數(shù)據(jù)。規(guī)則 ：禁止在隱藏域中存放明文形式的敏感數(shù)據(jù)。說(shuō)明：禁止在日志中記錄明文的敏感數(shù)據(jù)（如口令、會(huì)話標(biāo)識(shí) jsessionid 等）， 防止敏感信息泄漏。說(shuō)明：禁止使用 HTTPGET 方法提交帶有敏感數(shù)據(jù)的表單（ form），因?yàn)樵摲椒ㄊ褂貌樵冏址畟鬟f表單數(shù)據(jù)，易被查看、篡改。原因：當(dāng) 請(qǐng)求轉(zhuǎn)為 請(qǐng)求的時(shí)候，因?yàn)樵鹊?session 的 secure 屬性值是 true，無(wú)法再 協(xié)議中傳輸，因此，系統(tǒng)生成新的 session，且新的 session 沒(méi)有繼承舊 session 的屬性和值，因此，無(wú)法保持會(huì)話連續(xù)。規(guī)則 ：應(yīng)用服務(wù)器必須對(duì)安全事件及操作事件進(jìn)行日志記錄。規(guī)則 ：禁止日志文件和操作系統(tǒng)存儲(chǔ)在同一個(gè)分區(qū)中，同時(shí)，應(yīng)使用轉(zhuǎn)儲(chǔ)、滾動(dòng)、輪循機(jī)制，來(lái)防止存儲(chǔ)日志的分區(qū)寫(xiě)滿。說(shuō)明：認(rèn)證就是確定誰(shuí)在調(diào)用 Web Service，并且證實(shí)調(diào)用者身份。規(guī)則 ：通過(guò) Web Service 接口傳遞重要的交易數(shù)據(jù)時(shí)，必須保障其完整性和不可抵賴性。說(shuō)明：具體輸入校驗(yàn)部分請(qǐng)查看 輸入校驗(yàn)。說(shuō)明：鑒權(quán)就是判斷調(diào)用者是否有權(quán)限調(diào)用該 RESTful Web Service。說(shuō)明：具體輸入校驗(yàn)部分請(qǐng)查看 輸入校驗(yàn)。說(shuō)明：鑒權(quán)就是判斷調(diào)用者是否有權(quán)限調(diào)用該 DWR 接口。舉例：假如用戶資料填寫(xiě)表單中的“性別”為必填項(xiàng)，用 radio button（‘ 男’和‘女’對(duì)應(yīng)實(shí)際值分別為‘1’和‘0’）來(lái)限制用戶的輸入，如果應(yīng)用程序收到的“性別”值為‘2’，那么可以斷定有人惡意篡改數(shù)據(jù)。規(guī)則 ：對(duì)于在客戶端已經(jīng)做了輸入校驗(yàn)，在服務(wù)器端再次以相同的規(guī)則進(jìn)行校驗(yàn)時(shí)，一旦數(shù)據(jù)不合法，必須使會(huì)話失效，并記錄告警日志。說(shuō)明：對(duì)于一些有規(guī)則可循的輸入，如 地址、日期、小數(shù)等，使用正則表達(dá)式進(jìn)行白名單校驗(yàn)，這樣比使用黑名單進(jìn)行校驗(yàn)更有效。 //開(kāi)發(fā)者自行定義字符規(guī)則( 方括號(hào)內(nèi)的字符集)if (! (characterPattern)){ (“Invalid Input”)。這樣很容易被 SQL 注入攻擊。 (1, empid)。(1, %+c+%)。 and password/text()=39。說(shuō)明：注意，“回車(chē)”字符有多種表示方式（CR = %0d = \r ），“換行”字符有多種表示方式（LF = %0a = \n）。 ” ’ ( )%+】為其他表示形式后再輸出給客戶端，例如：%String OutStr = 。, )。說(shuō)明：建議對(duì)寫(xiě)/上傳文件的路徑或文件名采用隨機(jī)方式生成，或?qū)?xiě)/ 上傳文件放置在有適當(dāng)訪問(wèn)許可的專門(mén)目錄。規(guī)則 ：應(yīng)用程序捕獲異常，并在日志中記錄詳細(xì)的錯(cuò)誤信息。通過(guò)瀏覽器查看源碼的功能，能夠查看動(dòng)態(tài)頁(yè)面中的普通注釋信息，但看不到隱藏注釋（隱藏注釋不會(huì)發(fā)送給客戶端）。規(guī)則 ：歸檔的頁(yè)面程序文件的擴(kuò)展名必須使用小寫(xiě)字母。32 / 37 其他規(guī)則 ：對(duì)于 JSP 語(yǔ)言，所有 servlet 必須進(jìn)行靜態(tài)映射，不允許通過(guò)絕對(duì)路徑訪問(wèn)。if((().getAttribute(randomStr))){//處理請(qǐng)求}else{//跨站請(qǐng)求攻擊，注銷(xiāo)會(huì)話}方法二。規(guī)則 ：對(duì)客戶端提交的表單請(qǐng)求進(jìn)行合法性校驗(yàn)，防止跨站請(qǐng)求偽造攻擊。攻擊者只要在 URL 中將 JSP 文件后綴從小寫(xiě)變成大寫(xiě)，Web 服務(wù)器就不能正確處理這個(gè)文件后綴，而將其當(dāng)作純文本顯示。實(shí)施指導(dǎo)：form action=%隱藏注釋 1%textarea name=a length=200/textareainput type=submit value=test/form%//隱藏注釋 2 str=(String)(a)。 代碼注釋規(guī)則 ：在注釋信息中禁止包含物理路徑信息。防止惡意用戶構(gòu)造路徑和文件名，實(shí)施目錄跨越和不安全直接對(duì)象引用攻擊。OutStr = (\\), )。,amp。說(shuō)明：如果服務(wù)端代碼中使用 ().exec(cmd)或 ProcessBuilder 等執(zhí)行操作系統(tǒng)命令，那么禁止從客戶端獲取命令；而且最好不要從客戶端獲取命令的參數(shù)，如果必須從客戶獲取命令的參數(shù)，那么必須采用正則表達(dá)式對(duì)命令參數(shù)進(jìn)行嚴(yán)格的校驗(yàn)，以防止命令注入（因?yàn)?，一旦從客戶端獲取命令或參數(shù)，通過(guò)。 ]/firstname/text())。%hello%39。 (3, age)。說(shuō)