【正文】 if((().getAttribute(randomStr))){//處理請(qǐng)求}else{//跨站請(qǐng)求攻擊，注銷(xiāo)會(huì)話}方法二。實(shí)施指導(dǎo)：方法一：為每個(gè)session創(chuàng)建唯一的隨機(jī)字符串，并在受理請(qǐng)求時(shí)驗(yàn)證form action=/ method=post input type=hidden name=randomStr value=%=().getAttribute(randomStr)% ....../form//判斷客戶(hù)端提交的隨機(jī)字符串是否正確String randomStr = (String)(randomStr)。攻擊者可以迫使用戶(hù)去執(zhí)行攻擊者預(yù)先設(shè)置的操作，例如，如果用戶(hù)登錄網(wǎng)絡(luò)銀行去查看其存款余額，他沒(méi)有退出網(wǎng)絡(luò)銀行系統(tǒng)就去了自己喜歡的論壇去灌水，如果攻擊者在論壇中精心構(gòu)造了一個(gè)惡意的鏈接并誘使該用戶(hù)點(diǎn)擊了該鏈接，那么該用戶(hù)在網(wǎng)絡(luò)銀行帳戶(hù)中的資金就有可能被轉(zhuǎn)移到攻擊者指定的帳戶(hù)中。規(guī)則 ：對(duì)客戶(hù)端提交的表單請(qǐng)求進(jìn)行合法性校驗(yàn)，防止跨站請(qǐng)求偽造攻擊。32 / 37 其他規(guī)則 ：對(duì)于 JSP 語(yǔ)言，所有 servlet 必須進(jìn)行靜態(tài)映射，不允許通過(guò)絕對(duì)路徑訪問(wèn)。說(shuō)明：這里的“調(diào)試用的代碼”是指開(kāi)發(fā)過(guò)程中進(jìn)行臨時(shí)調(diào)試所用的、在 Web 應(yīng)用運(yùn)行過(guò)程中不需要使用到的 Web 頁(yè)面代碼或 servlet 代碼。因此，歸檔的頁(yè)面程序文件的擴(kuò)展名必須使用小寫(xiě)字母，如 jsp、html、htm、asp 等頁(yè)面程序文件的擴(kuò)展名分別為 jsp、html、htm、asp。攻擊者只要在 URL 中將 JSP 文件后綴從小寫(xiě)變成大寫(xiě)，Web 服務(wù)器就不能正確處理這個(gè)文件后綴，而將其當(dāng)作純文本顯示。規(guī)則 ：歸檔的頁(yè)面程序文件的擴(kuò)展名必須使用小寫(xiě)字母。說(shuō)明：惡意用戶(hù)可以通過(guò) URL 之類(lèi)的文件，Web 服務(wù)器會(huì)將這些文件以文本方式呈現(xiàn)給惡意用戶(hù)，造成代碼的泄漏，嚴(yán)重威脅 Web 應(yīng)用的安全。(str)。實(shí)施指導(dǎo)：form action=%隱藏注釋 1%textarea name=a length=200/textareainput type=submit value=test/form%//隱藏注釋 2 str=(String)(a)。通過(guò)瀏覽器查看源碼的功能，能夠查看動(dòng)態(tài)頁(yè)面中的普通注釋信息，但看不到隱藏注釋?zhuān)[藏注釋不會(huì)發(fā)送給客戶(hù)端）。規(guī)則 ：對(duì)于動(dòng)態(tài)頁(yè)面不使用普通注釋?zhuān)皇褂秒[藏注釋。規(guī)則 ：在注釋信息中禁止包含 SQL 語(yǔ)句信息。 代碼注釋規(guī)則 ：在注釋信息中禁止包含物理路徑信息。規(guī)則 ：應(yīng)用程序捕獲異常，并在日志中記錄詳細(xì)的錯(cuò)誤信息。說(shuō)明：應(yīng)用程序出現(xiàn)異常時(shí)，禁止將數(shù)據(jù)庫(kù)版本、數(shù)據(jù)庫(kù)結(jié)構(gòu)、操作系統(tǒng)版本、堆棧跟蹤、文件名和路徑信息、SQL 查詢(xún)字符串等對(duì)攻擊者有用的信息返回給客戶(hù)端。30 / 37說(shuō)明：Web 內(nèi)容目錄指的是：通過(guò) Web 可以直接瀏覽、訪問(wèn)的目錄，存放在 Web 內(nèi)容目錄下的文件容易被攻擊者直接下載。防止惡意用戶(hù)構(gòu)造路徑和文件名，實(shí)施目錄跨越和不安全直接對(duì)象引用攻擊。說(shuō)明：建議對(duì)寫(xiě)/上傳文件的路徑或文件名采用隨機(jī)方式生成，或?qū)?xiě)/ 上傳文件放置在有適當(dāng)訪問(wèn)許可的專(zhuān)門(mén)目錄。 上傳下載規(guī)則 ：必須在服務(wù)器端采用白名單方式對(duì)上傳或下載的文件類(lèi)型、大小進(jìn)行嚴(yán)格的限制。% 語(yǔ)言可以通過(guò) HtmlEncode 方法對(duì) HTML 的輸出進(jìn)行編碼。OutStr = (\\), )。, )。OutStr = (\,)。OutStr = (,)。,amp。 ” ’ ( )%+】為其他表示形式后再輸出給客戶(hù)端，例如：%String OutStr = 。說(shuō)明：不可信的數(shù)據(jù)（也就是其他業(yè)務(wù)系統(tǒng)生成的未經(jīng)本應(yīng)用程序驗(yàn)證的表數(shù)據(jù)或文件數(shù)29 / 37據(jù)），通過(guò)對(duì)輸出到客戶(hù)端的數(shù)據(jù)進(jìn)行編碼，可以防止瀏覽器將 HTML 視為可執(zhí)行腳本，從而防止跨站腳本攻擊。|符號(hào)，非常容易構(gòu)造命令注入，危害系統(tǒng)）。說(shuō)明：如果服務(wù)端代碼中使用 ().exec(cmd)或 ProcessBuilder 等執(zhí)行操作系統(tǒng)命令，那么禁止從客戶(hù)端獲取命令；而且最好不要從客戶(hù)端獲取命令的參數(shù)，如果必須從客戶(hù)獲取命令的參數(shù)，那么必須采用正則表達(dá)式對(duì)命令參數(shù)進(jìn)行嚴(yán)格的校驗(yàn)，以防止命令注入（因?yàn)?，一旦從客?hù)端獲取命令或參數(shù)，通過(guò)。說(shuō)明：注意，“回車(chē)”字符有多種表示方式（CR = %0d = \r ），“換行”字符有多種表示方式（LF = %0a = \n）。balance=0，這樣， balance=0 的信息就被在存儲(chǔ)到了 JavaBean 中了，而 balance 是整個(gè)會(huì)話中用來(lái)存儲(chǔ)總費(fèi)用的，當(dāng)他們這時(shí)點(diǎn)擊“chekout”結(jié)賬的時(shí)候，費(fèi)用就全免了。說(shuō)明：property=*這表明用戶(hù)在可見(jiàn)的 JSP 頁(yè)面中輸入的，或是直接通過(guò) Query String 提交的參數(shù)值，將存儲(chǔ)到與參數(shù)名相匹配的 bean 屬性中。 ]/firstname/text())。 and password/text()=39。動(dòng)態(tài)構(gòu)建 XPath 語(yǔ)句的例子：public boolean doLogin(String loginID, String password){......XPathExpression expr = (//users/user[loginID/text()=39。規(guī)則 ：禁止動(dòng)態(tài)構(gòu)建 XPath 語(yǔ)句。%hello%39。(1, %+c+%)。pstmt = (express)。()。 (3, age)。 (1, empid)。PreparedStatement stmt = null。因此，多次執(zhí)行的 SQL 語(yǔ)句經(jīng)常創(chuàng)建為 PreparedStatement 對(duì)象，還可以提高效率。說(shuō)明：使用預(yù)編譯語(yǔ)句 PreparedStatement，類(lèi)型化 SQL 參數(shù)將檢查輸入的類(lèi)型，確保輸入值在數(shù)據(jù)庫(kù)中當(dāng)作字符串、數(shù)字、日期或 boolean 等值而不是可執(zhí)行代碼進(jìn)行處理，從而防止 SQL 注入攻擊。這樣很容易被 SQL 注入攻擊。說(shuō)明：禁止通過(guò)字符串串聯(lián)直接使用用戶(hù)輸入構(gòu)造可執(zhí)行 SQL 語(yǔ)句，如：string sql = select status from Users where UserName=39。說(shuō)明：如果輸入數(shù)據(jù)是數(shù)值，必須校驗(yàn)數(shù)值的范圍是否正確，如年齡應(yīng)該為 0～150 之間的27 / 37正整數(shù)。說(shuō)明：如果輸入數(shù)據(jù)是字符串，必須校驗(yàn)字符串的長(zhǎng)度是否符合要求，長(zhǎng)度校驗(yàn)會(huì)加大攻擊者實(shí)施攻擊的難度。 //開(kāi)發(fā)者自行定義字符規(guī)則( 方括號(hào)內(nèi)的字符集)if (! (characterPattern)){ (“Invalid Input”)。實(shí)施指導(dǎo)：String text = (text)。}規(guī)則 ：如果輸入為字符串參數(shù)則必須進(jìn)行字符型合法性判斷。String characterPattern = ^([az09AZ]+[_]?)+[az09AZ](([az09AZ]+[_]?)+([az09AZ]+)?\\.)+[azAZ]{2,4}$。說(shuō)明：對(duì)于一些有規(guī)則可循的輸入，如 地址、日期、小數(shù)等，使用正則表達(dá)式進(jìn)行白名單校驗(yàn)，這樣比使用黑名單進(jìn)行校驗(yàn)更有效。 //正則表達(dá)式表示是否全為數(shù)字if (! (characterPattern))26 / 37{ (“Invalid Input”)。實(shí)施指導(dǎo)：String mobileno = (mobileno)。規(guī)則 ：如果輸入為數(shù)字參數(shù)則必須進(jìn)行數(shù)字型判斷。規(guī)則 ：對(duì)于在客戶(hù)端已經(jīng)做了輸入校驗(yàn)，在服務(wù)器端再次以相同的規(guī)則進(jìn)行校驗(yàn)時(shí)，一旦數(shù)據(jù)不合法，必須使會(huì)話失效，并記錄告警日志。規(guī)則 ：不能依賴(lài)于客戶(hù)端校驗(yàn)，必須使用服務(wù)端代碼對(duì)輸入數(shù)據(jù)進(jìn)行最終校驗(yàn)。例如，標(biāo)題頭中的 referer 字段包含來(lái)自請(qǐng)求源端的 Web 頁(yè)面的 URL。說(shuō)明：HTTP 標(biāo)題頭是在 HTTP 請(qǐng)求和 HTTP 響應(yīng)的開(kāi)始階段發(fā)送的。舉例：假如用戶(hù)資料填寫(xiě)表單中的“性別”為必填項(xiàng)，用 radio button（‘ 男’和‘女’對(duì)應(yīng)實(shí)際值分別為‘1’和‘0’）來(lái)限制用戶(hù)的輸入，如果應(yīng)用程序收到的“性別”值為‘2’，那么可以斷定有人惡意篡改數(shù)據(jù)。規(guī)則 ：必須對(duì)所有服務(wù)器產(chǎn)生的輸入進(jìn)行校驗(yàn)，一旦數(shù)據(jù)不合法，必須使會(huì)話失效，并記錄告警日志。4 Web 編程安全規(guī)范 輸入校驗(yàn)規(guī)則 ：必須對(duì)所有用戶(hù)產(chǎn)生的輸入進(jìn)行校驗(yàn)，一旦數(shù)據(jù)不合法，應(yīng)該告知用戶(hù)輸入非25 / 37法并且建議用戶(hù)糾正輸入。規(guī)則 ：必須對(duì) DWR 提交的參數(shù)進(jìn)行輸入校驗(yàn)。說(shuō)明：鑒權(quán)就是判斷調(diào)用者是否有權(quán)限調(diào)用該 DWR 接口。實(shí)施指導(dǎo)：對(duì)于 DWR 接口的認(rèn)證直接沿用 認(rèn)證機(jī)制，不用單獨(dú)再做認(rèn)證。實(shí)施指導(dǎo)：修改對(duì)應(yīng)的 文件中的 debug 參數(shù)值為 false：servlet servletnamedwrinvoker/servletname servletclass/servletclass initparam paramnamedebug/paramname paramvaluefalse/paramvalue /initparam......規(guī)則 ：對(duì) DWR 接口的調(diào)用必須進(jìn)行認(rèn)證。規(guī)則 ：關(guān)閉 DWR 調(diào)試功能。說(shuō)明：具體輸入校驗(yàn)部分請(qǐng)查看 輸入校驗(yàn)。說(shuō)明：日志內(nèi)容包括但不限于如下內(nèi)容：調(diào)用時(shí)間、操作類(lèi)型、調(diào)用接口名稱(chēng)、詳細(xì)的接口參數(shù)、客戶(hù)端 IP、客戶(hù)端機(jī)器名、調(diào)用者的用戶(hù)標(biāo)識(shí)、受影響的個(gè)體（數(shù)據(jù)、資源）、成功或失敗標(biāo)識(shí)。實(shí)施指導(dǎo)：請(qǐng)參考《附件 3 客戶(hù)端 IP 鑒權(quán)實(shí)施指導(dǎo)》。實(shí)施指導(dǎo)：采用 安全協(xié)議。說(shuō)明：鑒權(quán)就是判斷調(diào)用者是否有權(quán)限調(diào)用該 RESTful Web Service。對(duì)于安全性要求不高、只向同一信任域內(nèi)其他主機(jī)開(kāi)放的 Web Service 接口，可以通過(guò)簡(jiǎn)單的 IP 認(rèn)證來(lái)實(shí)現(xiàn)接口的認(rèn)證（只有服務(wù)器端指定 IP 地址的客戶(hù)端才允許調(diào)用， IP 地址可配置）。實(shí)施指導(dǎo)：客戶(hù)端發(fā)起的 Restful 請(qǐng)求需要在消息頭帶 Authorization 字段，內(nèi)容填 Basic Base64(user:pass)，服務(wù)端對(duì) user 和 passwd 進(jìn)行認(rèn)證。規(guī)則 ：對(duì) RESTful Web Service 的調(diào)用必須進(jìn)行認(rèn)證。說(shuō)明：具體輸入校驗(yàn)部分請(qǐng)查看 輸入校驗(yàn)。說(shuō)明：日志內(nèi)容包括但不限于如下內(nèi)容：調(diào)用時(shí)間、操作類(lèi)型、調(diào)用接口名稱(chēng)、詳細(xì)的接口參數(shù)、客戶(hù)端 IP、客戶(hù)端機(jī)器名、調(diào)用者的用戶(hù)標(biāo)識(shí)、受影響的個(gè)體（數(shù)據(jù)、資源）、成功或失敗標(biāo)識(shí)。實(shí)施指導(dǎo)：請(qǐng)參考《附件 3 客戶(hù)端 IP 鑒權(quán)實(shí)施指導(dǎo)》。實(shí)施指導(dǎo)：請(qǐng)參考《附件 2 Web Service 安全接入開(kāi)發(fā)指導(dǎo)》。規(guī)則 ：通過(guò) Web Service 接口傳遞重要的交易數(shù)據(jù)時(shí)，必須保障其完整性和不可抵賴(lài)性。實(shí)施指導(dǎo)：方案 1：請(qǐng)參考《附件 2 Web Service 安全接入開(kāi)發(fā)指導(dǎo)》。實(shí)施指導(dǎo)：可以通過(guò) Axis 的 handler 對(duì)調(diào)用進(jìn)行鑒權(quán)。規(guī)則 ：如果調(diào)用者的權(quán)限各不相同，那么必須對(duì) Web Service 接口的調(diào)用進(jìn)行鑒權(quán)。說(shuō)明：認(rèn)證就是確定誰(shuí)在調(diào)用 Web Service，并且證實(shí)調(diào)用者身份。說(shuō)明：在生成安全日志時(shí)，即時(shí)將日志保存到網(wǎng)絡(luò)上其他主機(jī)，而且生成安全日志的應(yīng)用程序不能再訪問(wèn)存放在其他主機(jī)的日志?？梢耘渲枚ㄆ趥浞菁扒謇淼臅r(shí)間，可以配置以用于存放安全日志的磁盤(pán)空間使用率達(dá)到多少時(shí)進(jìn)行備份及清理。建議 ：安全日志應(yīng)該有備份及清理機(jī)制。規(guī)則 ：禁止日志文件和操作系統(tǒng)存儲(chǔ)在同一個(gè)分區(qū)中，同時(shí)，應(yīng)使用轉(zhuǎn)儲(chǔ)、滾動(dòng)、輪循機(jī)制，來(lái)防止存儲(chǔ)日志的分區(qū)寫(xiě)滿(mǎn)。規(guī)則 ：對(duì)日志模塊占用資源必須有相應(yīng)的限制機(jī)制。說(shuō)明：只有 Web 應(yīng)用程序的管理員才能查詢(xún)數(shù)據(jù)庫(kù)表形式或文件形式的安全日志；除數(shù)據(jù)庫(kù)超級(jí)管理員外，只有應(yīng)用程序連接數(shù)據(jù)庫(kù)的帳號(hào)可以查詢(xún)（select）及插入（insert）安全日志表；除操作系統(tǒng)超級(jí)管理員外，只有應(yīng)用程序的運(yùn)行帳戶(hù)才能讀、寫(xiě)文件形式的安全日志（但不允許刪除）。規(guī)則 ：安全日志必須包括但不限于如下內(nèi)容：事件發(fā)生的時(shí)間、事件類(lèi)型、客戶(hù)端IP、客戶(hù)端機(jī)器名、當(dāng)前用戶(hù)的標(biāo)識(shí)、受影響的個(gè)體（數(shù)據(jù)、資源）、成功或失敗標(biāo)識(shí)、啟動(dòng)該事件的進(jìn)程標(biāo)識(shí)以及對(duì)該事件的詳細(xì)描述。規(guī)則 ：應(yīng)用服務(wù)器必須對(duì)安全事件及操作事件進(jìn)行日志記錄。21 / 37 安全審計(jì)本節(jié)的安全審計(jì)是針對(duì) Web 業(yè)務(wù)應(yīng)用，不包括對(duì)操作系統(tǒng)、 Web 容器的安全審計(jì)。規(guī)則 ：禁止將對(duì)用戶(hù)保密的信息傳送到客戶(hù)端。規(guī)則 ：禁止在 URL 中攜帶會(huì)話標(biāo)識(shí)（如 jsessionid）。原因：當(dāng) 請(qǐng)求轉(zhuǎn)為 請(qǐng)求的時(shí)候，因?yàn)樵鹊?session 的 secure 屬性值是 true，無(wú)法再 協(xié)議中傳輸，因此，系統(tǒng)生成新的 session，且新的 session 沒(méi)有繼承舊 session 的屬性和值，因此，無(wú)法保持會(huì)話連續(xù)。2. Web 應(yīng)用中，從 切換到 過(guò)程中會(huì)丟失 session，無(wú)法保持會(huì)話的連續(xù)。由于 SSL 對(duì)服務(wù)端的 CPU 資源消耗很大，實(shí)施時(shí)必須考慮服務(wù)器的承受能力。實(shí)施指導(dǎo)：20 / 371. 對(duì)于 JSP 頁(yè)面，將表單的屬性 method 賦值為post，如下form name=form1 method=post action=2