【正文】 ASP、PHP、JSP、CGI 等由動(dòng)態(tài)語(yǔ)言生成的頁(yè)面。規(guī)則 ：禁止以用戶提交的數(shù)據(jù)作為讀/寫(xiě)/ 上傳/下載文件的路徑或文件名，以防止目錄跨越和不安全直接對(duì)象引用攻擊。實(shí)施指導(dǎo)：JSP 語(yǔ)言可以通過(guò)替換輸出數(shù)據(jù)的特殊字符【amp。+loginID+39。stmt = (inssql)。String characterPattern = ^[AZaz]*$。說(shuō)明：客戶端的校驗(yàn)只能作為輔助手段，減少客戶端和服務(wù)端的信息交互次數(shù)。規(guī)則 ：對(duì) DWR 接口的調(diào)用必須進(jìn)行鑒權(quán)。規(guī)則 ：如果調(diào)用者的權(quán)限各不相同，那么必須對(duì) RESTful Web Service 的調(diào)用進(jìn)行鑒權(quán)。方案 2：采用 安全協(xié)議。說(shuō)明：限制日志模塊占用的資源，以防止如自動(dòng)的惡意登陸嘗試導(dǎo)致的資源枯竭類(lèi) DOS 攻擊；比如限制日志記錄占用的磁盤(pán)空間。解決的辦法就是用 過(guò)程代替 過(guò)程，保證會(huì)話的連續(xù)性。規(guī)則 ：禁止在日志中記錄明文的敏感數(shù)據(jù)。 敏感數(shù)據(jù)保護(hù) 敏感數(shù)據(jù)定義敏感數(shù)據(jù)包括但不限于：口令、密鑰、證書(shū)、會(huì)話標(biāo)識(shí)、License、隱私數(shù)據(jù)（如短消息的內(nèi)容）、授權(quán)憑據(jù)、個(gè)人數(shù)據(jù)（如姓名、住址、電話等）等，在程序文件、配置文件、日志文件、備份文件及數(shù)據(jù)庫(kù)中都有可能包含敏感數(shù)據(jù)。說(shuō)明：在嵌入式系統(tǒng)中部署 Web 應(yīng)用，由于軟硬件資源所限，往往無(wú)法使用通用的 Web容器及容器的會(huì)話管理功能，只能自己實(shí)現(xiàn)。規(guī)則 ：禁止使用客戶端提交的未經(jīng)審核的信息來(lái)給會(huì)話信息賦值。規(guī)則 ：驗(yàn)證碼要求有背景干擾，背景干擾元素的顏色、位置、數(shù)量要求隨機(jī)變化。建議 ：同一客戶端在多次連續(xù)嘗試登錄失敗后，服務(wù)端需要進(jìn)行用戶帳號(hào)或者是客戶端所在機(jī)器的 IP 地址的鎖定策略，且該鎖定策略必須設(shè)置解鎖時(shí)長(zhǎng)，超時(shí)后自動(dòng)解鎖。規(guī)則 ：禁止在系統(tǒng)中預(yù)留任何的后門(mén)帳號(hào)或特殊的訪問(wèn)機(jī)制。驗(yàn)證碼在設(shè)計(jì)上必須要考慮到一些安全因素，以免能被輕易地破解。11 / 373 Web 設(shè)計(jì)安全規(guī)范 Web 部署要求規(guī)則 ：如果 Web 應(yīng)用對(duì) Inter 開(kāi)放，Web 服務(wù)器應(yīng)當(dāng)置于 DMZ 區(qū)，在 Web 服務(wù)器與 Inter 之間， Web 服務(wù)器與內(nèi)網(wǎng)之間應(yīng)當(dāng)有防火墻隔離，并設(shè)置合理的策略。3 失效的身份認(rèn)證和會(huì)話管理與身份認(rèn)證和會(huì)話管理相關(guān)的應(yīng)用程序功能往往得不到正確的實(shí)現(xiàn)，這就導(dǎo)致了攻擊者破壞密碼、密匙、會(huì)話令牌或攻擊其他的漏洞去冒充其他用戶的身份。加密技術(shù) 未授權(quán)訪問(wèn)機(jī)密數(shù)據(jù)或帳戶信息。這并非危言聳聽(tīng)，類(lèi)似的網(wǎng)上事故舉不勝舉，公司的 Web 產(chǎn)品也曾多次遭黑客攻擊，甚至有黑客利用公司 Web產(chǎn)品的漏洞敲詐運(yùn)營(yíng)商，造成極其惡劣的影響。增加了“ DWR”何偉祥 00162822吳淑榮 00197720魏建雄 00222906謝和坤 00197709李田 00042091孫波 00175839王偉 00207440陳偉 00141500增加“規(guī)則、規(guī)則、規(guī)則、建議、 PHP”增加“ RESTful Web 4 / 37規(guī)范號(hào) 主要起草部門(mén)專(zhuān)家 主要評(píng)審部門(mén)專(zhuān)家 修訂情況朱雙紅 00051429 Service”修改“規(guī)則、規(guī)則、規(guī)則、規(guī)則”刪除“ 口令策略”和“規(guī)則、規(guī)則、規(guī)則”附件文檔作為對(duì)象直接插入主文檔5 / 37目 錄 Table of Contents1 概述 ...........................................................................................................................................7 背景簡(jiǎn)介 ...................................................................................................................................7 技術(shù)框架 ...................................................................................................................................8 使用對(duì)象 ...................................................................................................................................9 適用范圍 ...................................................................................................................................9 用詞約定 ...................................................................................................................................92 常見(jiàn)WEB安全漏洞 ...............................................................................................................103 WEB設(shè)計(jì)安全規(guī)范 ...............................................................................................................11 WEB部署要求 .........................................................................................................................11 身份驗(yàn)證 .................................................................................................................................12 口令 ..............................................................................................................12 認(rèn)證 ..............................................................................................................12 驗(yàn)證碼 ..........................................................................................................15 會(huì)話管理 .................................................................................................................................16 權(quán)限管理 .................................................................................................................................17 敏感數(shù)據(jù)保護(hù) .........................................................................................................................18 敏感數(shù)據(jù)定義 ..............................................................................................18 敏感數(shù)據(jù)存儲(chǔ) ..............................................................................................18 敏感數(shù)據(jù)傳輸 ..............................................................................................20 安全審計(jì) .................................................................................................................................21 WEB SERVICE .........................................................................................................................22 RESTFUL WEB SERVICE........................................................................................................23 DWR .......................................................................................................................................244 WEB編程安全規(guī)范 ...............................................................................................................25 輸入校驗(yàn) .................................................................................................................................25 輸出編碼 .................................................................................................................................30 上傳下載 .................................................................................................................................306 / 37 異常處理 .................................................................................................................................31 代碼注釋 .................................................................................................................................31 歸檔要求 .................................................................................................................................32 其他 .........................................................................................................................................33 PHP.........................................................................................................................................345 WEB安全配置規(guī)范 ...............................................................................................................366 配套CBB介紹 .................................