【文章內(nèi)容簡介】 ，登錄失敗”；不能提示：“用戶名不存在”、“口令必須是 6 位”等等。規(guī)則 ：最終用戶 portal 和管理 portal 分離。說明：最終用戶 portal 和管理 portal 分離，防止相互影響，防止來自用戶面的攻擊影響管理面。實施指導(dǎo)：將最終用戶 portal 和管理 portal 分別部署在不同的物理服務(wù)器；如果為了解決成本合設(shè)（部署在同一臺物理服務(wù)器上），那么，必須做到端口分離（通過不同的端口提供 Web 服務(wù)），一般的 Web 容器（如 tomcat）支持為不同的 Web 應(yīng)用創(chuàng)建不同的端口。規(guī)則 ：禁止在系統(tǒng)中預(yù)留任何的后門帳號或特殊的訪問機制。規(guī)則 ：對于重要的管理事務(wù)或重要的交易事務(wù)要進行重新認證，以防范會話劫持和跨站請求偽造給用戶帶來損失。說明：重要的管理事務(wù)，比如重新啟動業(yè)務(wù)模塊；重要的交易事務(wù)，比如轉(zhuǎn)賬、余額轉(zhuǎn)移、充值等。重新認證，比如讓用戶重新輸入口令。規(guī)則 ：用戶名和密碼認證通過后，必須更換會話標識，以防止會話固定（session fixation）漏洞。實施指導(dǎo)：場景一：對于從 HTTP 轉(zhuǎn)到 HTTPS 再轉(zhuǎn)到 HTTP（也就是僅在認證過程采用 HTTPS，認證成功后又轉(zhuǎn)到 HTTP）的，在用戶名和密碼認證通過后增加以下行代碼：().invalidate()。HttpSession newSession=(true)。Cookie cookie = new Cookie(JSESSIONID,())。 (1)。(false)。(())。(cookie)。場景二：對于全程采用 HTTPS 協(xié)議，或者全程采用 HTTP 協(xié)議的，在用戶名和密碼認證通過后增加以下行代碼：().invalidate()。(true)。14 / 37建議 ：管理頁面建議實施強身份認證。說明：如雙因素認證、SSL 雙向證書認證、生物認證等；還可以通過應(yīng)用程序限制只允許某些特定的 IP 地址訪問管理頁面，并且這些特定的 IP 地址可配置。建議 ：同一客戶端在多次連續(xù)嘗試登錄失敗后，服務(wù)端需要進行用戶帳號或者是客戶端所在機器的 IP 地址的鎖定策略，且該鎖定策略必須設(shè)置解鎖時長，超時后自動解鎖。說明：登錄失敗應(yīng)該提示用戶：如果重試多少次不成功系統(tǒng)將會鎖定。在鎖定期間不允許該用戶帳號（或者客戶端所在機器的 IP 地址）登錄。允許連續(xù)失敗的次數(shù)（指從最后一次成功以來失敗次數(shù)的累計值）可配置，取值范圍為：099 次，0 表示不執(zhí)行鎖定策略，建議默認： 5 次。鎖定時長的取值范圍為：0999 分鐘，建議默認：30 分鐘，當取值為 0 時，表示無限期鎖定，只能通過管理員手動解鎖（需要提供管理員對服務(wù)器鎖定其它用戶帳號/IP 進行解鎖的功能界面）。建議優(yōu)先使用帳號鎖定策略。注意：應(yīng)用程序的超級用戶帳號不能被鎖定，只能鎖定操作的客戶端所在的 IP，這是為了防止系統(tǒng)不可用。特別說明：鎖客戶端 IP 策略存在缺陷，當用戶使用 proxy 上網(wǎng)時，那么鎖定客戶端 IP 會導(dǎo)致使用該 proxy 上網(wǎng)的所有用戶在 IP 鎖定期間都不能使用該 Web應(yīng)用；鎖定用戶帳戶的策略也存在缺陷，當攻擊者不斷嘗試某帳戶的口令，就給該帳戶帶來拒絕服務(wù)攻擊，使該帳戶不可用。 驗證碼規(guī)則 ：驗證碼必須是單一圖片，且只能采用 JPEG、PNG 或 GIF 格式。說明：驗證碼不能使用文本格式，不允許多圖片組合（如用四個圖片拼成的驗證碼）。規(guī)則 ：驗證碼內(nèi)容不能與客戶端提交的任何信息相關(guān)聯(lián)。說明：在使用驗證碼生成模塊時不允許接收來自客戶端的任何參數(shù)，例如：禁止通過?code=1234 的 URL 請求，將 1234 作為驗證碼隨機數(shù)。規(guī)則 ：驗證碼模塊生成的隨機數(shù)不能在客戶端的靜態(tài)頁面中的網(wǎng)頁源代碼里出現(xiàn)。說明：在客戶端網(wǎng)頁上點擊鼠標右鍵、選擇“查看源文件”時，必須看不到驗證碼模塊生成的隨機數(shù)。規(guī)則 ：驗證碼字符串要求是隨機生成，生成的隨機數(shù)必須是安全的。15 / 37說明：對于 java 語言可以使用類 來生成安全的隨機數(shù)。規(guī)則 ：驗證碼要求有背景干擾，背景干擾元素的顏色、位置、數(shù)量要求隨機變化。規(guī)則 ：驗證碼在一次使用后要求立即失效，新的請求需要重新生成驗證碼。說明：進行驗證碼校驗后，立即將會話中的驗證碼信息清空，而不是等到生成新的驗證碼時再去覆蓋舊的驗證碼，防止驗證碼多次有效；注意：當客戶端提交的驗證碼為空，驗證不通過。說明：以上規(guī)則可以通過使用電信軟件與核心網(wǎng)網(wǎng)絡(luò)安全工程部提供的 驗證碼 CBB 來實現(xiàn)。 會話管理規(guī)則 ：使用會話 cookie 維持會話。說明：目前主流的 Web 容器通過以下幾種方式維持會話：隱藏域、 URL 重寫、持久性cookie、會話 cookie，但通過隱藏域、URL 重寫或持久性 cookie 方式維持的會話容易被竊取，所以要求使用會話 cookie 維持會話。如果條件限制必須通過持久性 cookie 維持會話的話，那么 cookie 信息中的重要數(shù)據(jù)部分如身份信息、計費信息等都必須進行加密。（cookie 有兩種：會話 cookie 和持久性 cookie；會話 cookie，也就是非持久性 cookie，不設(shè)置過期時間，其生命期為瀏覽器會話期間，只要關(guān)閉瀏覽器窗口，cookie 就消失了；會話 cookie 一般不存儲在硬盤上而是保存在內(nèi)存里。持久性 cookie，設(shè)置了過期時間，被瀏覽器保存到硬盤上，關(guān)閉后再次打開瀏覽器，持久性 cookie 仍然有效直到超過設(shè)定的過期時間。）備注：對于嵌入式系統(tǒng)的 Web，不適合本條規(guī)則，按“規(guī)則 ”實施。規(guī)則 ：會話過程中不允許修改的信息，必須作為會話狀態(tài)的一部分在服務(wù)器端存儲和維護。說明：會話過程中不允許修改的信息，例如，當用戶通過認證后，其用戶標識在整個會話過程中不能被篡改。禁止通過隱藏域或 URL 重寫等不安全的方式存儲和維護。對 JSP 語言，就是應(yīng)該通過 session 對象進行存儲和維護。規(guī)則 ：當 Web 應(yīng)用跟蹤到非法會話，則必須記錄日志、清除會話并返回到認證界面。說明： 非法會話的概念就是通過一系列的服務(wù)端合法性檢測（包括訪問未授權(quán)資源，缺少16 / 37必要參數(shù)等情況），最終發(fā)現(xiàn)的不是正常請求產(chǎn)生的會話。規(guī)則 ：禁止使用客戶端提交的未經(jīng)審核的信息來給會話信息賦值。說明：防止會話信息被篡改，如惡意用戶通過 URL 篡改手機號碼等。規(guī)則 ：當用戶退出時，必須清除該用戶的會話信息。說明：防止遺留在內(nèi)存中的會話信息被竊取，減少內(nèi)存占用。實施指導(dǎo)：對于 JSP 或 java 語言使用如下語句： ().invalidate()。規(guī)則 ：必須設(shè)置會話超時機制，在超時過后必須要清除該會話信息。說明：建議默認會話超時時間為 10 分鐘（備注：對于嵌入式系統(tǒng)中的 Web，建議默認超時時間為 5 分鐘，以減少系統(tǒng)資源占用）。如果沒有特殊需求，禁止使用自動發(fā)起請求的機制來阻止 session 超時。規(guī)則 ：在服務(wù)器端對業(yè)務(wù)流程進行必要的流程安全控制，保證流程銜接正確，防止關(guān)鍵鑒別步驟被繞過、重復(fù)、亂序。說明：客戶端流程控制很容易被旁路（繞過），因此流程控制必須在服務(wù)器端實現(xiàn)。實施指導(dǎo)：可以通過在 session 對象中創(chuàng)建一個表示流程當前狀態(tài)的標識位，用0、…、N 分別表示不同的處理步驟，標識位的初始值為 0，當接收到步驟 N 的處理請求時，判斷該標識位是否為 N1，如果不為 N1，則表示步驟被繞過（或重復(fù)或亂序），拒絕受理，否則受理，受理完成后更改標識位為 N。規(guī)則 ：所有登錄后才能訪問的頁面都必須有明顯的“注銷（或退出）”的按鈕或菜單，如果該按鈕或菜單被點擊，則必須使對應(yīng)的會話立即失效。說明：這樣做是為了讓用戶能夠方便地、安全地注銷或退出，減小會話劫持的風險。規(guī)則 ：如果產(chǎn)品（如嵌入式系統(tǒng)）無法使用通用的 Web 容器，只能自己實現(xiàn) Web 服務(wù)，那么必須自己實現(xiàn)會話管理，并滿足以下要求：? 采用會話 cookie 維持會話。? 生成會話標識（session ID）要保證足夠的隨機、離散，以便不能被猜測、枚舉，要求session ID 要至少要 32 字節(jié)，要支持字母和數(shù)字字符集。? 服務(wù)端必須對客戶端提交的 session ID 的有效性進行校驗。說明：在嵌入式系統(tǒng)中部署 Web 應(yīng)用，由于軟硬件資源所限，往往無法使用通用的 Web容器及容器的會話管理功能，只能自己實現(xiàn)。另外，為了節(jié)省內(nèi)存，嵌入式 webserver 進程往往是動態(tài)啟動，為了使 session 更快的超時，建議增加心跳機制，對客戶端瀏覽器是否關(guān)閉進行探測，5s 一個心跳，30s 沒有心跳則 session 超時，關(guān)閉該 session。17 / 37 權(quán)限管理規(guī)則 ：對于每一個需要授權(quán)訪問的頁面或 servlet 的請求都必須核實用戶的會話標識是否合法、用戶是否被授權(quán)執(zhí)行這個操作。說明：防止用戶通過直接輸入 URL，越權(quán)請求并執(zhí)行一些頁面或 servlet；建議通過過濾器實現(xiàn)。實施指導(dǎo)： 請參考“ 附件 5 Web 權(quán)限管理設(shè)計規(guī)格說明書 .docx”。規(guī)則 ：授權(quán)和用戶角色數(shù)據(jù)必須存放在服務(wù)器端，不能存放在客戶端，鑒權(quán)處理也必須在服務(wù)器端完成。說明：禁止將授權(quán)和角色數(shù)據(jù)存放在客戶端中（比如 cookie 或隱藏域中），以防止被篡改。規(guī)則 ：一個帳號只能擁有必需的角色和必需的權(quán)限。一個組只能擁有必需的角色和必需的權(quán)限。一個角色只能擁有必需的權(quán)限。說明：做到權(quán)限最小化和職責分離（職責分離就是分清帳號角色，系統(tǒng)管理帳號只用于系統(tǒng)管理，審計帳號只用于審計，操作員帳號只用于業(yè)務(wù)維護操作，普通用戶帳號只能使用業(yè)務(wù)。）這樣即使帳號被攻擊者盜取，也能把安全損失控制在最小的限度。規(guī)則 ：對于運行應(yīng)用程序的操作系統(tǒng)帳號，不應(yīng)使用“root”、“administrator”、“supervisor”等特權(quán)帳號或高級別權(quán)限帳號，應(yīng)該盡可能地使用低級別權(quán)限的操作系統(tǒng)帳號。規(guī)則 ：對于應(yīng)用程序連接數(shù)據(jù)庫服務(wù)器的數(shù)據(jù)庫帳號，在滿足業(yè)務(wù)需求的前提下，必須使用最低級別權(quán)限的數(shù)據(jù)庫帳號。說明：根據(jù)業(yè)務(wù)系統(tǒng)要求，創(chuàng)建相應(yīng)的數(shù)據(jù)庫帳號，并授予必需的數(shù)據(jù)庫權(quán)限。不能使用“sa”、“sysman”等管理帳號或高級別權(quán)限帳號。 敏感數(shù)據(jù)保護 敏感數(shù)據(jù)定義敏感數(shù)據(jù)包括但不限于：口令、密鑰、證書、會話標識、License、隱私數(shù)據(jù)（如短消息的內(nèi)容）、授權(quán)憑據(jù)、個人數(shù)據(jù)（如姓名、住址、電話等）等，在程序文件、配置文件、日志文件、備份文件及數(shù)據(jù)庫中都有可能包含敏感數(shù)據(jù)。18 / 37 敏感數(shù)據(jù)存儲規(guī)則 ：禁止在代碼中存儲敏感數(shù)據(jù)。說明：禁止在代碼中存儲如數(shù)據(jù)庫連接字符串、口令和密鑰之類的敏感數(shù)據(jù)，這樣容易導(dǎo)致泄密。用于加密密鑰的密鑰可以硬編碼在代碼中。規(guī)則 ：禁止密鑰或帳號的口令以明文形式存儲在數(shù)據(jù)庫或者文件中。說明：密鑰或帳號的口令必須經(jīng)過加密存儲。例外情況，如果 Web 容器的配置文件中只能以明文方式配置連接數(shù)據(jù)庫的用戶名和口令，那么就不用強制遵循該規(guī)則，將該配置文件的屬性改為只有屬主可讀寫。規(guī)則 ：禁止在 cookie 中以明文形式存儲敏感數(shù)據(jù)。說明：cookie 信息容易被竊取，盡量不要在 cookie 中存儲敏感數(shù)據(jù)；如果條件限制必須使用 cookie 存儲敏感信息時，必須先對敏感信息加密再存儲到 cookie。規(guī)則 ：禁止在隱藏域中存放明文形式的敏感數(shù)據(jù)。規(guī)則 ：禁止用自己開發(fā)的加密算法，必須使用公開、安全的標準加密算法。實施指導(dǎo)：場景 1：后臺服務(wù)端保存數(shù)據(jù)庫的登錄口令后臺服務(wù)器登錄數(shù)據(jù)庫需要使用登錄數(shù)據(jù)庫的明文口令，此時后臺服務(wù)器加密保存該口令后，下次登錄時需要還原成明文，因此，在這種情況下，不可用不可逆的加密算法，而需要使用對稱加密算法或者非對稱加密算法，一般也不建議采用非對稱加密算法。推薦的對稱加密算法：AES12AES19AES256。場景 2：后臺服務(wù)端保存用戶的登錄口令在該場景下，一般情況是：客戶端提交用戶名及用戶口令，后臺服務(wù)端對用戶名及用戶口令進行驗證，然后返回驗證的結(jié)果。此時，在后臺服務(wù)端，用戶口令可以不需要還原，因此建議使用不可逆的加密算法，對“用戶名+口令”字符串進行加密。推薦的不可逆加密算法： SHA25SHA384 、SHA512，HMACSHA256 、HMACSHA38HMACSHA512 。規(guī)則 ：禁止在日志中記錄明文的敏感數(shù)據(jù)。說明：禁止在日志中記錄明文的敏感數(shù)據(jù)（如口令、會話標識 jsessionid 等）， 防止敏感信息泄漏。19 / 37規(guī)則 ：禁止帶有敏感數(shù)據(jù)的 Web 頁面緩存。說明：帶有敏感數(shù)據(jù)的 Web 頁面都應(yīng)該禁止緩存，以防止敏感信息泄漏或通過代理服務(wù)器上網(wǎng)的用戶數(shù)據(jù)互竄問題。實施指導(dǎo)：在 HTML 頁面的HEAD標簽內(nèi)加入如下代碼：HEADMETA HTTPEQUIV=Expires CONTENT=0 META HTTPEQUIV=Pragma CONTENT=nocache META HTTPEQUIV=Cachecontrol CONTENT=nocache META HTTPEQUIV=Cache CONTENT=nocache /HEAD在 JSP 頁面的最前面加入如下代碼：% (CacheControl,nocache)。 (Pragma,nocache)。 (Expires,0)。 %注意：以上代碼對于采用強制緩存策略的代理服務(wù)器不生