【正文】 添加帳號的功能，開發(fā)人員臨時編寫了一個 JSP 頁面進行測試，那么在歸檔時，該 JSP 頁面必須刪除，以免被攻擊者利用。if(randomStr == null) randomStr=。說明：跨站請求偽造（CSRF）是一種挾制終端用戶在當前已登錄的 Web 應用程序上執(zhí)行非本意的操作的攻擊方法。攻擊者可以通過查看源碼獲得這些程序的源代碼。31 / 37/*隱藏注釋 3*/str = (,)。規(guī)則 ：在注釋信息中禁止包含數(shù)據(jù)庫連接信息。規(guī)則 ：禁止將敏感文件（如日志文件、配置文件、數(shù)據(jù)庫文件等）存放在 Web 內容目錄下。(OutStr)。)。amp。......}規(guī)則 ：在 JavaBean 中禁止使用 property=*進行參數(shù)賦值。()。(4, birthday)。而且，由于 PreparedStatement 對象已預編譯過，所以其執(zhí)行速度要快于 Statement 對象。規(guī)則 ：校驗輸入數(shù)據(jù)的范圍。 // 正則表達式if (!(characterPattern)){ (“Invalid Email Address”)。說明：這里的數(shù)字參數(shù)指的是完全由數(shù)字組成的數(shù)據(jù)。Web 應用程序必須確保不以 HTTP 標題頭中的任何未加密信息作為安全決策依據(jù)，因為攻擊者要操作這一標題頭是很容易的。說明：具體輸入校驗部分請查看 輸入校驗。說明：如果開啟了 DWR 調試功能，那么攻擊者可以輕易查看和調用系統(tǒng)提供的所有 DWR接口，所以，版本發(fā)布時，一定要關閉 DWR 調試功能。規(guī)則 ：如果 RESTful Web Service 只對特定的 IP 開放，那么必須對調用 RESTful Web Service 的客戶端 IP 進行鑒權，只有在 IP 地址白名單中的客戶端才允許調用， IP 地址白名單可配置。說明：認證就是確定誰在調用 RESTful Web Service，并且證實調用者身份。規(guī)則 ：如果 Web Service 只對特定的 IP 開放，那么必須對調用 Web Service 接口的客戶端 IP 進行鑒權，只有在 IP 地址白名單中的客戶端才允許調用，IP 地址白名單可配置。說明：鑒權就是判斷調用者是否有權限調用該 Web Service 接口。說明：備份及清理機制包括定期備份及清理安全日志和監(jiān)控用于存放安全日志的磁盤空間的使用情況。規(guī)則 ：嚴格限制對安全日志的訪問。說明：由于瀏覽器會保存 URL 歷史記錄，如果 URL 中攜帶會話標識，則在多人共用的 PC上會話標識容易被其他人看到，一旦該會話標識還在其生命有效期，則惡意用戶可以冒充受害用戶訪問 Web 應用系統(tǒng)。說明：如果在客戶端和服務器間傳遞如帳號、口令等明文的敏感數(shù)據(jù)，必須使用帶服務器端證書的 SSL。實施指導：在 HTML 頁面的HEAD標簽內加入如下代碼：HEADMETA HTTPEQUIV=Expires CONTENT=0 META HTTPEQUIV=Pragma CONTENT=nocache META HTTPEQUIV=Cachecontrol CONTENT=nocache META HTTPEQUIV=Cache CONTENT=nocache /HEAD在 JSP 頁面的最前面加入如下代碼：% (CacheControl,nocache)。推薦的對稱加密算法：AES12AES19AES256。規(guī)則 ：禁止密鑰或帳號的口令以明文形式存儲在數(shù)據(jù)庫或者文件中。規(guī)則 ：對于運行應用程序的操作系統(tǒng)帳號，不應使用“root”、“administrator”、“supervisor”等特權帳號或高級別權限帳號，應該盡可能地使用低級別權限的操作系統(tǒng)帳號。實施指導： 請參考“ 附件 5 Web 權限管理設計規(guī)格說明書 .docx”。說明：這樣做是為了讓用戶能夠方便地、安全地注銷或退出，減小會話劫持的風險。實施指導：對于 JSP 或 java 語言使用如下語句： ().invalidate()。禁止通過隱藏域或 URL 重寫等不安全的方式存儲和維護。 會話管理規(guī)則 ：使用會話 cookie 維持會話。規(guī)則 ：驗證碼模塊生成的隨機數(shù)不能在客戶端的靜態(tài)頁面中的網(wǎng)頁源代碼里出現(xiàn)。鎖定時長的取值范圍為：0999 分鐘，建議默認：30 分鐘，當取值為 0 時，表示無限期鎖定，只能通過管理員手動解鎖（需要提供管理員對服務器鎖定其它用戶帳號/IP 進行解鎖的功能界面）。場景二：對于全程采用 HTTPS 協(xié)議，或者全程采用 HTTP 協(xié)議的，在用戶名和密碼認證通過后增加以下行代碼：().invalidate()。規(guī)則 ：用戶名和密碼認證通過后，必須更換會話標識，以防止會話固定（session fixation）漏洞。說明：可以提示：“用戶名或者口令錯誤，登錄失敗”；不能提示：“用戶名不存在”、“口令必須是 6 位”等等。規(guī)則 ：用戶名、密碼和驗證碼必須在同一個請求中提交給服務器，必須先判斷驗證碼是否正確，只有當驗證碼檢驗通過后才進行用戶名和密碼的檢驗，否則直接提示驗證碼錯誤。說明：不允許僅僅通過腳本或其他形式在客戶端進行驗證，必須在應用服務器進行最終認證處理（如果采用集中認證，那么對用戶的最終認證就是放在集中認證服務器進行）。說明：Web 站點根目錄安裝在非系統(tǒng)卷，如單獨創(chuàng)建一個目錄 /home/Web 作為 Web 站點根目錄，能夠防止攻擊者使用目錄遍歷攻擊訪問系統(tǒng)工具和可執(zhí)行文件。9 不安全的加密存儲許多 Web 應用程序并沒有使用恰當?shù)募用艽胧┗?Hash 算法保護敏感數(shù)據(jù)，比如信用卡、社會安全號碼（SSN）、認證憑據(jù)等。這就允許了攻擊者迫使用戶瀏覽器向存在漏洞的應用程序發(fā)送請求，而這些請求會被應用程序認為是用戶的合法請求。這些攻擊發(fā)生在當不可信的數(shù)據(jù)作為命令或者查詢語句的一部分，被發(fā)送給解釋器的時候。參數(shù)操作 路徑遍歷攻擊、命令執(zhí)行、此外還有跳過訪問控制機制、導致信息泄露、權限提升和拒絕服務。會話管理 通過捕獲導致會話劫持和會話偽造。上圖各個區(qū)域中存在任何一點薄弱環(huán)節(jié)，都容易導致安全漏洞。何偉祥 00162822 增加了“規(guī)則”的實施指導；刪除了“建議”；修改了“6 配套 CBB 介紹”的內容和獲取方式。C++語言安全編程規(guī)范》《Java 語言安全編程規(guī)范》相關國際規(guī)范或文件一致性：無替代或作廢的其它規(guī)范或文件：無相關規(guī)范或文件的相互關系：《產(chǎn)品網(wǎng)絡安全紅線》和《電信軟件與核心網(wǎng)業(yè)務部安全能力基線》中的 Web 安全要求引用了本規(guī)范的內容，如果存在沖突，以本規(guī)范為準。本規(guī)范就是提供一套完善的、系統(tǒng)化的、實用的 Web 安全開發(fā)方法供 Web 研發(fā)人員使用，以期達到提高 Web 安全的目的。表 1 列出了一些 Web 缺陷類別，并針對每類缺陷列出了由于設計不當可能會導致的潛在問題。安全審計 未能識別入侵征兆、無法證明用戶的操作，以及在問題診斷中存在困難。針對眾多的 Web 漏洞，OWASP 的專家們結合各自在各領域的應用安全工作經(jīng)驗及智慧，提出了十大 Web 應用程序安全漏洞，幫助人們關注最嚴重的漏洞。4 不安全的直接對象引用當開發(fā)人員暴露一個對內部實現(xiàn)對象的引用時，例如，一個文件、目錄或者數(shù)據(jù)庫密匙，就會產(chǎn)生一個不安全的直接對象引用。但是，當這些頁面被訪問時，應用程序也需要執(zhí)行類似的訪問控制檢測，否則攻擊者將可以偽裝這些 URL 去訪問隱藏的網(wǎng)頁。規(guī)則 ：如果 Web 應用對 Inter 開放，Web 服務器應該部署在其專用的服務器上，應避免將數(shù)據(jù)庫服務器或其他核心應用與 Web 服務器部署在同一臺主機上。說明：額外的訪問限制，可以限制請求來自企業(yè)內網(wǎng)，可以建立 VPN，或采用雙向認證的SSL；或采用更簡單的辦法，通過 IP 地址白名單對客戶端的 IP 地址進行過濾判斷，實施參考《附件 3 客戶端 IP 鑒權實施指導》。具體實現(xiàn)細節(jié)請查看 驗證碼。規(guī)則 ：認證處理模塊必須對提交的參數(shù)進行合法性檢查。規(guī)則 ：對于重要的管理事務或重要的交易事務要進行重新認證，以防范會話劫持和跨站請求偽造給用戶帶來損失。(false)。說明：登錄失敗應該提示用戶：如果重試多少次不成功系統(tǒng)將會鎖定。說明：驗證碼不能使用文本格式，不允許多圖片組合（如用四個圖片拼成的驗證碼）。規(guī)則 ：驗證碼在一次使用后要求立即失效，新的請求需要重新生成驗證碼。）備注：對于嵌入式系統(tǒng)的 Web，不適合本條規(guī)則，按“規(guī)則 ”實施。說明：防止會話信息被篡改，如惡意用戶通過 URL 篡改手機號碼等。說明：客戶端流程控制很容易被旁路（繞過），因此流程控制必須在服務器端實現(xiàn)。另外，為了節(jié)省內存，嵌入式 webserver 進程往往是動態(tài)啟動，為了使 session 更快的超時，建議增加心跳機制，對客戶端瀏覽器是否關閉進行探測，5s 一個心跳，30s 沒有心跳則 session 超時，關閉該 session。一個角色只能擁有必需的權限。18 / 37 敏感數(shù)據(jù)存儲規(guī)則 ：禁止在代碼中存儲敏感數(shù)據(jù)。規(guī)則 ：禁止在隱藏域中存放明文形式的敏感數(shù)據(jù)。說明：禁止在日志中記錄明文的敏感數(shù)據(jù)（如口令、會話標識 jsessionid 等）， 防止敏感信息泄漏。說明：禁止使用 HTTPGET 方法提交帶有敏感數(shù)據(jù)的表單（ form），因為該方法使用查詢字符串傳遞表單數(shù)據(jù)，易被查看、篡改。原因：當 請求轉為 請求的時候，因為原先的 session 的 secure 屬性值是 true，無法再 協(xié)議中傳輸，因此，系統(tǒng)生成新的 session，且新的 session 沒有繼承舊 session 的屬性和值，因此，無法保持會話連續(xù)。規(guī)則 ：應用服務器必須對安全事件及操作事件進行日志記錄。規(guī)則 ：禁止日志文件和操作系統(tǒng)存儲在同一個分區(qū)中，同時，應使用轉儲、滾動、輪循機制，來防止存儲日志的分區(qū)寫滿。說明：認證就是確定誰在調用 Web Service，并且證實調用者身份。規(guī)則 ：通過 Web Service 接口傳遞重要的交易數(shù)據(jù)時，必須保障其完整性和不可抵賴性。說明：具體輸入校驗部分請查看 輸入校驗。說明：鑒權就是判斷調用者是否有權限調用該 RESTful Web Service。說明：具體輸入校驗部分請查看 輸入校驗。說明：鑒權就是判斷調用者是否有權限調用該 DWR 接口。舉例：假如用戶資料填寫表單中的“性別”為必填項，用 radio button（‘ 男’和‘女’對應實際值分別為‘1’和‘0’）來限制用戶的輸入，如果應用程序收到的“性別”值為‘2’，那么可以斷定有人惡意篡改數(shù)據(jù)。規(guī)則 ：對于在客戶端已經(jīng)做了輸入校驗，在服務器端再次以相同的規(guī)則進行校驗時，一旦數(shù)據(jù)不合法，必須使會話失效，并記錄告警日志。說明：對于一些有規(guī)則可循的輸入，如 地址、日期、小數(shù)等，使用正則表達式進行白名單校驗，這樣比使用黑名單進行校驗更有效。 //開發(fā)者自行定義字符規(guī)則( 方括號內的字符集)if (! (characterPattern)){ (“Invalid Input”)。這樣很容易被 SQL 注入攻擊。 (1, empid)。(1, %+c+%)。 and password/text()=39。說明：注意，“回車”字符有多種表示方式（CR = %0d = \r ），“換行”字符有多種表示方式（LF = %0a = \n）。 ” ’ ( )%+】為其他表示形式后再輸出給客戶端，例如：%String OutStr = 。, )。說明：建議對寫/上傳文件的路徑或文件名采用隨機方式生成，或將寫/ 上傳文件放置在有適當訪問許可的專門目錄。規(guī)則 ：應用程序捕獲異常，并在日志中記錄詳細的錯誤信息。通過瀏覽器查看源碼的功能，能夠查看動態(tài)頁面中的普通注釋信息，但看不到隱藏注釋（隱藏注釋不會發(fā)送給客戶端）。規(guī)則 ：歸檔的頁面程序文件的擴展名必須使用小寫字母。32 / 37 其他規(guī)則 ：對于 JSP 語言，所有 servlet 必須進行靜態(tài)映射，不允許通過絕對路徑訪問。if((().getAttribute(randomStr))){//處理請求}else{//跨站請求攻擊，注銷會話}方法二。規(guī)則 ：對客戶端提交的表單請求進行合法性校驗，防止跨站請求偽造攻擊。攻擊者只要在 URL 中將 JSP 文件后綴從小寫變成大寫，Web 服務器就不能正確處理這個文件后綴，而將其當作純文本顯示。實施指導：form action=%隱藏注釋 1%textarea name=a length=200/textareainput type=submit value=test/form%//隱藏注釋 2 str=(String)(a)。 代碼注釋規(guī)則 ：在注釋信息中禁止包含物理路徑信息。防止惡意用戶構造路徑和文件名，實施目錄跨越和不安全直接對象引用攻擊。OutStr = (\\), )。,amp。說明：如果服務端代碼中使用 ().exec(cmd)或 ProcessBuilder 等執(zhí)行操作系統(tǒng)命令，那么禁止從客戶端獲取命令；而且最好不要從客戶端獲取命令的參數(shù)，如果必須從客戶獲取命令的參數(shù)，那么必須采用正則表達式對命令參數(shù)進行嚴格的校驗，以防止命令注入（因為，一旦從客戶端獲取命令或參數(shù)，通過。 ]/firstname/text())。%hello%39。 (3, age)。說