【正文】 ? 獲取方法：驗證碼CBB? 支持人員：何偉祥（00162822）7 附件 附件1 Tomcat配置SSL指導 附件2 Web Service 安全接入開發(fā)指導 附件3 客戶端IP鑒權(quán)實施指導 附件4 口令安全要求 附件5 Web權(quán)限管理設(shè)計規(guī)格說明書 。11) 輸入校驗：可以為各輸入?yún)?shù)配置輸入校驗規(guī)則（正則表達式），在服務(wù)器端實現(xiàn)嚴格的輸入校驗。：明確使用$_GET、$_POST、$_COOKIE而不是$_REQUEST獲取用戶請求數(shù)據(jù)，這有助于降低漏洞被成功利用的概率。：避免使用preg_replace()函數(shù)。default: include(“”)。switch ($lang):case “en” : include(“”)。lang39。39。/[^azAZ09_]/39。說明：對這些函數(shù)的參數(shù)檢查不嚴會很容易導致遠程命令執(zhí)行漏洞，給系統(tǒng)帶來不必要的安全隱患。 . escapeshellarg($dir))。?escapeshellarg()：?phpsystem(39。$escaped_mand = escapeshellcmd($mand)。configure_options39。./configure 39。實施指導：當不使用這些函數(shù)時，需通過disable_functions配置項禁止這些函數(shù)的使用：，把要禁用的函數(shù)添加到disable_functions參數(shù)值中，多個函數(shù)，用逗號分開，例如：disable_functions=phpinfo,get_cfg_var，eval,exec,passthru,popen,proc_open,system,shell_exec,ptl_exec當使用這些函數(shù)時，應使用escapeshellcmd()或escapeshellarg()對其參數(shù)進行過濾。說明：這些是PHP用于調(diào)用底層系統(tǒng)命令的函數(shù)，如對其參數(shù)過濾不嚴，將容易導致“系統(tǒng)命令執(zhí)行”漏洞，使黑客輕易地執(zhí)行系統(tǒng)命令并獲得服務(wù)器的shell權(quán)限。實施指導：，把“phpinfo”添加到清單中：disable_functions=phpinfo備注：如果要禁用多個函數(shù)，函數(shù)名之間用逗號隔開。但是往往因為開發(fā)人員的一時疏忽，把帶有phpinfo()的頁面部署到生產(chǎn)環(huán)境上，造成嚴重的信息泄露，給潛在攻擊者提供了很大的便利。 PHP：禁止使用phpinfo()。實施指導：方法一：在每個網(wǎng)頁上增加如下腳本來禁止iframe嵌套： script if(top != self) = 。實施指導：在form表單頭中增加選項（autoplete=off），例如：form action= name=login method=post autoplete=off：防止網(wǎng)頁被框架盜鏈或者點擊劫持。說明：瀏覽器都具有自動保存用戶輸入數(shù)據(jù)和自動填充數(shù)據(jù)的能力。說明：eval()函數(shù)存在安全隱患，該函數(shù)可以把輸入的字符串當作JavaScript表達式執(zhí)行，容易被惡意用戶利用。))無HTML,符合W3C標準/a備注：，.innerText只顯示文本內(nèi)容不顯示HTML標簽，不能適用于所有瀏覽器（但適用于IE瀏覽器）。).(/.+?/gim,39。實施指導：a href=javascript:alert((39。：，如果只是要顯示文本內(nèi)容，必須在innerHTML取得內(nèi)容后，再用正則表達式去除HTML標簽，以預防跨站腳本。if((().getAttribute(randomStr))){//處理請求}else{//跨站請求攻擊，注銷會話}方法二：受理重要操作請求時，在相應的表單頁面增加圖片驗證碼，用戶提交操作請求的同時提交驗證碼，在服務(wù)器端先判斷用戶提交的驗證碼是否正確，驗證碼正確再受理操作請求。實施指導：方法一：為每個session創(chuàng)建唯一的隨機字符串，并在受理請求時驗證form action=/ method=post input type=hidden name=randomStr value=%=().getAttribute(randomStr)% ....../form//判斷客戶端提交的隨機字符串是否正確String randomStr = (String)(randomStr)。攻擊者可以迫使用戶去執(zhí)行攻擊者預先設(shè)置的操作，例如，如果用戶登錄網(wǎng)絡(luò)銀行去查看其存款余額，他沒有退出網(wǎng)絡(luò)銀行系統(tǒng)就去了自己喜歡的論壇去灌水，如果攻擊者在論壇中精心構(gòu)造了一個惡意的鏈接并誘使該用戶點擊了該鏈接，那么該用戶在網(wǎng)絡(luò)銀行帳戶中的資金就有可能被轉(zhuǎn)移到攻擊者指定的帳戶中。：對客戶端提交的表單請求進行合法性校驗，防止跨站請求偽造攻擊。 其他：對于JSP語言，所有servlet必須進行靜態(tài)映射，不允許通過絕對路徑訪問。說明：這里的“調(diào)試用的代碼”是指開發(fā)過程中進行臨時調(diào)試所用的、在Web應用運行過程中不需要使用到的Web頁面代碼或servlet代碼。因此，歸檔的頁面程序文件的擴展名必須使用小寫字母，如jsp、html、htm、asp等頁面程序文件的擴展名分別為jsp、html、htm、asp。攻擊者只要在URL中將JSP文件后綴從小寫變成大寫，Web服務(wù)器就不能正確處理這個文件后綴，而將其當作純文本顯示。：歸檔的頁面程序文件的擴展名必須使用小寫字母。說明：，Web服務(wù)器會將這些文件以文本方式呈現(xiàn)給惡意用戶，造成代碼的泄漏，嚴重威脅Web應用的安全。(str)。lt。實施指導：form action=%隱藏注釋1%textarea name=a length=200/textareainput type=submit value=test/form%//隱藏注釋2 str=(String)(a)。通過瀏覽器查看源碼的功能，能夠查看動態(tài)頁面中的普通注釋信息，但看不到隱藏注釋（隱藏注釋不會發(fā)送給客戶端）。：對于動態(tài)頁面不使用普通注釋，只使用隱藏注釋。：在注釋信息中禁止包含SQL語句信息。 代碼注釋：在注釋信息中禁止包含物理路徑信息。：應用程序捕獲異常，并在日志中記錄詳細的錯誤信息。說明：應用程序出現(xiàn)異常時，禁止將數(shù)據(jù)庫版本、數(shù)據(jù)庫結(jié)構(gòu)、操作系統(tǒng)版本、堆棧跟蹤、文件名和路徑信息、SQL 查詢字符串等對攻擊者有用的信息返回給客戶端。說明：Web內(nèi)容目錄指的是：通過Web可以直接瀏覽、訪問的目錄，存放在Web內(nèi)容目錄下的文件容易被攻擊者直接下載。防止惡意用戶構(gòu)造路徑和文件名，實施目錄跨越和不安全直接對象引用攻擊。說明：建議對寫/上傳文件的路徑或文件名采用隨機方式生成，或?qū)?上傳文件放置在有適當訪問許可的專門目錄。 上傳下載：必須在服務(wù)器端采用白名單方式對上傳或下載的文件類型、大小進行嚴格的限制。% HTML 的輸出進行編碼。)。OutStr = (\\),amp。40。)。,amp。)。OutStr = (\,amp。gt。)。OutStr = (,amp。amp。OutStr = (amp。XSS39。實施指導：JSP語言可以通過替換輸出數(shù)據(jù)的特殊字符【amp。 輸出編碼：對于不可信的數(shù)據(jù)，輸出到客戶端前必須先進行HTML編碼。amp。：如果服務(wù)端代碼執(zhí)行操作系統(tǒng)命令，禁止從客戶端獲取命令。：用于重定向的輸入?yún)?shù)不能包含回車和換行字符，以防止HTTP響應拆分攻擊。例如，網(wǎng)上購物程序，一般，用戶是這樣提交請求的： /?newItem=ITEM0105342，如果用戶提交： /?newItem=ITEM0105342amp。 ......}：在JavaBean中禁止使用property=*進行參數(shù)賦值。+password+39。+loginID+39。說明：和動態(tài)構(gòu)建SQL一樣，動態(tài)構(gòu)建XPath語句也會導致注入漏洞（XPath注入）。()。//參數(shù)自動添加單引號，最后的SQL語句為：select * from table where ment like 39。String c=hello。備注：使用like進行模糊查詢時，如果直接用select * from table where ment like %?%，程序會報錯，必須采用如下方法String express = select * from table where ment like ?。(4, birthday)。(2, name)。stmt = (inssql)。實施指導：參考如下代碼：String inssql = insert into buy(empid, name, age, birthday) values (?,?,?,?)。而且，由于 PreparedStatement 對象已預編譯過，所以其執(zhí)行速度要快于 Statement 對象。：對于java/JSP語言，使用預編譯語句PreparedStatement代替直接的語句執(zhí)行Statement。 + + 39。：禁止通過字符串串聯(lián)直接使用用戶輸入構(gòu)造可執(zhí)行 SQL 語句。：校驗輸入數(shù)據(jù)的范圍。}：校驗輸入數(shù)據(jù)的長度。String characterPattern = ^[AZaz]*$。說明：可定義一個合法字符集。 //正則表達式if (!(characterPattern)){ (“Invalid Email Address”)。實施指導：地址校驗的方法：String Address = (Address)。}：如果輸入只允許包含某些特定的字符或字符的組合，則使用白名單進行輸入校驗。String characterPattern = ^\\d+$。說明：這里的數(shù)字參數(shù)指的是完全由數(shù)字組成的數(shù)據(jù)。說明：肯定存在攻擊行為，攻擊者繞過了客戶端的輸入校驗，因此必須使會話失效，并記入告警日志。說明：客戶端的校驗只能作為輔助手段，減少客戶端和服務(wù)端的信息交互次數(shù)。不要根據(jù) referer 字段的值做出任何安全決策（如檢查請求是否來源于 Web 應用程序生成的頁面），因為該字段是很容易被偽造的。Web 應用程序必須確保不以 HTTP 標題頭中的任何未加密信息作為安全決策依據(jù)，因為攻擊者要操作這一標題頭是很容易的。：禁止將HTTP標題頭中的任何未加密信息作為安全決策依據(jù)。說明：服務(wù)器產(chǎn)生的輸入是指除用戶產(chǎn)生的輸入以外的輸入，例如來自hidden fields、selection boxes、check boxes、radio buttons、cookies、HTTP headers、熱點鏈接包含的URL參數(shù)的數(shù)據(jù)或客戶端腳本等；必須假定所有服務(wù)器產(chǎn)生的輸入都是被篡改過的、惡意的，并對它們進行合法性校驗，如果不合法，說明有人惡意篡改數(shù)據(jù)。說明：用戶產(chǎn)生的輸入是指來自text、password、textareas或file表單域的數(shù)據(jù)；必須假定所有用戶產(chǎn)生的輸入都是不可信的，并對它們進行合法性校驗。說明：。實施指導：DWR的請求和普通的Web請求一樣，都可以通過過濾器來鑒權(quán)。：對DWR接口的調(diào)用必須進行鑒權(quán)。說明：認證就是確定誰在調(diào)用DWR接口，并且證實調(diào)用者身份。說明：如果開啟了DWR調(diào)試功能，那么攻擊者可以輕易查看和調(diào)用系統(tǒng)提供的所有DWR接口，所以，版本發(fā)布時，一定要關(guān)閉DWR調(diào)試功能。 DWRDWR（Direct Web Remoting）是一種Java 和JavaScript 相結(jié)合的開源框架，可以幫助開發(fā)人員更容易地完成應用Ajax 技術(shù)的Web 應用程序，讓瀏覽器上的JavaScript 方法調(diào)用運行在Web 服務(wù)器上的Java 方法。：必須對RESTful Web Service提交的參數(shù)進行輸入校驗。：對RESTful Web Service調(diào)用進行日志記錄。