【正文】 件操作必須通過HTTP協(xié)議提供的WebDAV完成，不要使用FTP等文件傳輸協(xié)議。 僅對當(dāng)前會話有效，瀏覽器關(guān)閉后即失效216。 禁止被客戶端Javascript及applet等操作216。 CookieCookie的使用必須做統(tǒng)一的分析和管理，并按照Cookie存儲的數(shù)據(jù)重要程序及使用場景做劃分。如果不希望某個(gè)程序文件能被客戶端輸入文件路徑后被直接，應(yīng)該將這些文件放在WEBINF目錄下。 靜態(tài)程序資源靜態(tài)程序資源應(yīng)統(tǒng)一存放在指定的目錄下，在靜態(tài)程序資源目錄下不要存放任何動(dòng)態(tài)資源、可執(zhí)行文件、數(shù)據(jù)及任何無關(guān)資源。 URL規(guī)劃對外網(wǎng)類應(yīng)用，按照用戶角色對應(yīng)權(quán)限類型對系統(tǒng)URL進(jìn)行規(guī)劃，各種不同權(quán)限功能對應(yīng)的URL按照各種不同的統(tǒng)一的URL規(guī)則進(jìn)行定義，具有不同訪問權(quán)限要求的URL路徑規(guī)則不應(yīng)混合在一起。 外部系統(tǒng)訪問外部系統(tǒng)需要直接訪問應(yīng)用的數(shù)據(jù)時(shí)，應(yīng)單獨(dú)分配一個(gè)用戶，并按照最小權(quán)限原則僅分配外部系統(tǒng)所需的最小訪問權(quán)限。 數(shù)據(jù)庫規(guī)劃 用戶權(quán)限合理規(guī)劃數(shù)據(jù)庫用戶，避免因?yàn)闄?quán)限分配不當(dāng)引起的數(shù)據(jù)安全問題。 保密數(shù)據(jù)：凡是不允許使用明文存儲的數(shù)據(jù)都屬于保密數(shù)據(jù)，保密數(shù)據(jù)除了必須滿足敏感數(shù)據(jù)對數(shù)據(jù)傳輸進(jìn)行加密和審計(jì)的要求外，還必須按照保密性的要求，在數(shù)據(jù)存儲之前對數(shù)據(jù)進(jìn)行加密，數(shù)據(jù)庫或文件中僅存儲加密后的數(shù)據(jù)。如：信用卡信息、支付交易等屬于敏感數(shù)據(jù)。 敏感數(shù)據(jù)：敏感數(shù)據(jù)涉及到重要信息，為防止在傳輸過程中被攔截竊取或遭到篡改，要求敏感數(shù)據(jù)在客戶端和服務(wù)端之間必須采用SSL/TLS協(xié)議進(jìn)行傳輸，保證數(shù)據(jù)的傳輸安全。 普通數(shù)據(jù)：凡是不涉及敏感信息的數(shù)據(jù)都屬于普通數(shù)據(jù)，系統(tǒng)中大部分的數(shù)據(jù)都是屬于普通數(shù)據(jù)，普通數(shù)據(jù)允許采用明文傳輸和明文存儲。 數(shù)據(jù)安全等級劃分對應(yīng)用系統(tǒng)的數(shù)據(jù)進(jìn)行分析，區(qū)分出普通數(shù)據(jù)、敏感數(shù)據(jù)和保密數(shù)據(jù)等類型。c) 應(yīng)捕捉所有未處理異常并將它們發(fā)送到一般錯(cuò)誤頁的頁級別或應(yīng)用程序級別上，創(chuàng)建全局錯(cuò)誤處理程序。b) 應(yīng)向客戶端返回一般性錯(cuò)誤消息。如一般性錯(cuò)誤消息和自定義錯(cuò)誤日志 ID，隨后可以將這些信息映射到事件日志中的詳細(xì)消息。2. 記錄詳細(xì)的錯(cuò)誤信息：a) 應(yīng)在錯(cuò)誤日志中記錄詳細(xì)的錯(cuò)誤消息。 異常管理1. 捕捉并處理異常：a) 應(yīng)使用結(jié)構(gòu)化異常處理機(jī)制，捕捉并處理異?，F(xiàn)象。在很多 Unix 平臺 上，從/dev/urandom 讀取 16 字節(jié)可以給出相當(dāng)高質(zhì)量的隨機(jī)序列，建議從/dev/urandom 獲取隨機(jī)源。（對于Java來說，SecureRandom 的默認(rèn)構(gòu)造方法可以正確的選種）。3. 在隨機(jī)數(shù)生成器中不要使用容易被猜到的種子。通常不需要設(shè)置種子數(shù)給SecureRandom， Java會自動(dòng)獲取一個(gè)信息熵比較平均的值。 隨機(jī)數(shù)如果應(yīng)用程序需要隨機(jī)數(shù)，需要找出一種合適的隨機(jī)數(shù)生成方法，要求其生成代價(jià)較小并且應(yīng)滿足安全需求。禁止將口令存儲在代碼中。 可采用系統(tǒng)訪問控制為配置數(shù)據(jù)文件設(shè)置嚴(yán)格的訪問權(quán)限，僅應(yīng)用程序可以訪問。6. 其他可能引起內(nèi)存溢出的情況。4. 軟件程序應(yīng)檢查每次內(nèi)存分配是否失敗，并進(jìn)行處理。2. 對于數(shù)據(jù)庫查詢操作，如果查詢返回的結(jié)果較多時(shí)，應(yīng)設(shè)計(jì)成分次提取。特別注意在使用 Cookie 時(shí)不要把客戶重要信息儲存在客戶端。 這些控制信息應(yīng)加密后存放在配置文件中。2. 應(yīng)提高代碼的重復(fù)利用率，創(chuàng)建公共函數(shù)庫（對象庫）供整個(gè)軟件程序調(diào)用。b) 在 .NET 中，則需要使用關(guān)鍵字 using 引入 IDisposable 接口來進(jìn)行資源釋放，而不是直接關(guān)閉管理資源的對象。2. 。將所有臨時(shí)文件都存放在該文件夾中， 當(dāng)臨時(shí)文件使用完畢后應(yīng)及時(shí)清除臨時(shí)文件。 注意文件訪問競爭條件多進(jìn)程或線程對同一文件進(jìn)行訪問時(shí)，應(yīng)采取適當(dāng)?shù)募渔i策略保證文件數(shù)據(jù)在訪問過程中的一致性。這意味著文件只應(yīng)被指定的用戶訪問，而且該用戶應(yīng)該被限制為最小權(quán)限，例如對文件的讀寫權(quán)限都應(yīng)被限制到最低。 禁止在參數(shù)中出現(xiàn) ../、..\ 等特殊字串及其變形。 安全的使用文件名應(yīng)避免在傳遞的參數(shù)中直接使用真實(shí)的文件名，盡量使用索引值來映射實(shí)際的文件路徑。4. 應(yīng)關(guān)閉文件上傳目錄的執(zhí)行權(quán)限， 在 UNIX/LINUX 系統(tǒng)環(huán)境里， 建議把上傳目錄掛載成獨(dú)立的邏輯盤或設(shè)置為 JAIL 環(huán)境。2. 上傳文件大小限制，限制文件的容量大小范圍。 在 .NET 中，則需要使用關(guān)鍵字 using 引入IDisposable 接口來進(jìn)行資源釋放，而不是直接關(guān)閉管理資源的對象。由于資源泄露會導(dǎo)致系統(tǒng)出錯(cuò)而且很難捕捉到，所以我們建議建立一個(gè)資源管理模塊并且完全按照規(guī)則進(jìn)行操作。當(dāng)用戶要執(zhí)行 SQL 語句時(shí)，根據(jù)用戶提交的用戶名或者 ID 進(jìn)行判斷是否具有執(zhí)行該 SQL 語句操作的權(quán)限，來限制攻擊者越權(quán)來執(zhí)行 SQL 語句。通過 row 級別的訪問控制是防止用戶信息泄露的“最后的防線”了。 分次提取數(shù)據(jù) 對于數(shù)據(jù)庫查詢操作，如果查詢返回的結(jié)果較多時(shí)，應(yīng)設(shè)計(jì)成分次提取， 應(yīng)避免一次提取過多數(shù)據(jù)。 對數(shù)據(jù)庫操作的返回?cái)?shù)據(jù)進(jìn)行驗(yàn)證 不應(yīng)盲目信任來自數(shù)據(jù)庫的數(shù)據(jù)，建議對來自數(shù)據(jù)庫的數(shù)據(jù)進(jìn)行驗(yàn)證，確保其格式正確且能夠安全的使用：1. 檢查 SQL 請求的返回記錄數(shù)， SQL 請求的預(yù)期結(jié)果為單值數(shù)據(jù)，但存在多行結(jié)果時(shí)，表明 SQL 請求中被可能被攻擊者插入了注入語句，此時(shí)應(yīng)中止后續(xù)處理并記錄日志。ResultSetresults=()。PreparedStatementstmt= (q)。合理的使用參數(shù)化 SQL 代碼如下： ...Stringitem =(item)。 ResultSetresults=()。String q=SELECT * FROM records WHERE item=+item。當(dāng)程序要執(zhí)行該語句的時(shí)候，它就會告知數(shù)據(jù)庫這些綁定參數(shù)的運(yùn)行值，這樣就避免了數(shù)據(jù)被認(rèn)為是命令語句而被執(zhí)行的錯(cuò)誤。參數(shù)化的 SQL 語句通常是由 SQL 字符構(gòu)造的，但是來自客戶的數(shù)據(jù)是需要與一些綁定參數(shù)組合在一起的。在構(gòu)造 SQL 請求時(shí)，開發(fā)者應(yīng)當(dāng)知道哪些應(yīng)該被翻譯為數(shù)據(jù)而哪些應(yīng)該被翻譯為命令的一部分。 使用參數(shù)化請求方式使用參數(shù)化的 SQL 請求是防止 SQL 注入的有效方法。 避免為應(yīng)用程序分配過大或不必要的數(shù)據(jù)庫權(quán)限，禁止將數(shù)據(jù)庫 DBA 權(quán)限分配給應(yīng)用程序。 建立錯(cuò)誤信息保護(hù)機(jī)制開發(fā)人員在編碼時(shí)，禁止將詳細(xì)錯(cuò)誤信息直接反饋到客戶端，詳細(xì)錯(cuò)誤信息中包含系統(tǒng)信息、文件和目錄的絕對路徑信息，應(yīng)對錯(cuò)誤信息進(jìn)行規(guī)整和清理后再返回到客戶端，建議只向客戶端返回錯(cuò)誤碼，詳細(xì)錯(cuò)誤信息可以記錄在后臺服務(wù)器。 從服務(wù)器端提取關(guān)鍵參數(shù)需要獲取參數(shù)時(shí)，應(yīng)當(dāng)從服務(wù)器端提取關(guān)鍵參數(shù)，禁止從客戶端輸入，例如產(chǎn)品價(jià)格、用戶角色、鑒權(quán)標(biāo)志等，如果關(guān)鍵參數(shù)允許從客戶端輸入提供，攻擊者可通過偽造或篡改輸入數(shù)據(jù)造成程序關(guān)鍵邏輯錯(cuò)誤。 如果攻擊者可以控制寫進(jìn)日志文件的信息， 他們就可以在輸入中混入偽造的日志條目來偽造系統(tǒng)事件， 更嚴(yán)重的是，如果負(fù)責(zé)進(jìn)行日志分析的代碼存在漏洞，特定的有惡意的輸入數(shù)據(jù)很可能觸發(fā)該漏洞，并引發(fā)更加嚴(yán)重的危害。 建立統(tǒng)一的輸入驗(yàn)證接口應(yīng)建立統(tǒng)一的輸入驗(yàn)證接口，為整個(gè)應(yīng)用系統(tǒng)提供一致的驗(yàn)證方法，這樣可以避免分散驗(yàn)證帶來的代碼管理混亂，并且可以減少遺漏。在驗(yàn)證失敗時(shí)，安全的做法是不試圖修復(fù)一個(gè)未能通過輸入驗(yàn)證的請求，直接拒絕掉。輸入驗(yàn)證本身就很復(fù)雜，如果和自動(dòng)錯(cuò)誤恢復(fù)的代碼混合在一起的話，將會造成更大的復(fù)雜性，自動(dòng)錯(cuò)誤恢復(fù)代碼很可能改變請求的含義或者截?cái)囹?yàn)證邏輯。攻擊者可以通過對同一個(gè)元字符采取多種編碼方式或者根據(jù)語言特征采取多種實(shí)現(xiàn)方式，因此應(yīng)過濾輸入數(shù)據(jù)中那些具有特定含義的字符，如單引號、雙引號、圓括號、分號等。5. 應(yīng)使用正則表達(dá)式進(jìn)行白名單檢查盡量避免使用黑名單法。、 +、 \、 \39。4. 檢查數(shù)據(jù)是否包含特殊字符，如： 、 、 39。2. 檢查數(shù)據(jù)是否符合期望的長度。 對輸入內(nèi)容進(jìn)行規(guī)范化處理后再進(jìn)行驗(yàn)證當(dāng)輸入數(shù)據(jù)包含文件名、路徑名、URL 等數(shù)據(jù)時(shí)，應(yīng)先對輸入內(nèi)容進(jìn)行規(guī)范化處理后再進(jìn)行驗(yàn)證，如文件路徑、URL 地址等數(shù)據(jù)，需要規(guī)范化為標(biāo)準(zhǔn)的格式后再進(jìn)行驗(yàn)證。 保證所有的輸入信息是被驗(yàn)證過的確保在輸入驗(yàn)證之前，新輸入的數(shù)據(jù)不能被添加到程序中（輸入的數(shù)據(jù)不能進(jìn)入程序代碼中被執(zhí)行）。8. 系統(tǒng)性能參數(shù)。6. 網(wǎng)絡(luò)服務(wù)。4. 從數(shù)據(jù)庫中檢索出的數(shù)據(jù)。2. 不可信來源的文件。 這樣在看一段代碼時(shí)，就很容易識別數(shù)據(jù)是在可信邊界的哪一側(cè)。如果輸入的數(shù)據(jù)在處理前通過一些用戶的交互發(fā)生了改變， 可信邊界就會遇到一定的問題，因?yàn)樗芸赡茉谒袛?shù)據(jù)進(jìn)入之前不能做出完全的輸入驗(yàn)證。}由于開發(fā)者都知道用戶是不能直接訪問 session 對象的，所以很容易信任來自 session 的所有信息，但是如果在該 session 中混合存儲了可信和不可信的數(shù)據(jù)， 就會違反完全可信邊界的原則，帶來安全隱患。usrname =(usrname)。當(dāng)程序混淆了可信和不可信數(shù)據(jù)的界限時(shí)會導(dǎo)致安全邊界發(fā)生問題，最容易導(dǎo)致這種錯(cuò)誤的情況是把可信和不可信數(shù)據(jù)混合在一個(gè)數(shù)據(jù)結(jié)構(gòu)里。 在一些代碼中用于保存可信數(shù)據(jù)的數(shù)據(jù)結(jié)構(gòu)，不能被用來在其它代碼中存儲不可信數(shù)據(jù)。例如，SSL協(xié)議可以驗(yàn)證參與通訊的一方或雙方使用的證書是否是由權(quán)威的受信任的數(shù)字證書認(rèn)證機(jī)構(gòu)頒發(fā)，并且能執(zhí)行雙向身份認(rèn)證。中間人攻擊是一個(gè)（缺乏） 相互認(rèn)證的攻擊。在許多情況下這是很簡單的（例如，在一個(gè)未加密的WiFi 無線接入點(diǎn)的接受范圍內(nèi)的中間人攻擊者，可以將自己作為一個(gè)中間人插入這個(gè)網(wǎng)絡(luò)）。 中間人攻擊在密碼學(xué)和計(jì)算機(jī)安全領(lǐng)域中，中間人攻擊 （ Maninthemiddle attack，通?？s寫為MITM ）是指攻擊者與通訊的兩端分別建立獨(dú)立的聯(lián)系，并交換其所收到的數(shù)據(jù)，使通訊的兩端認(rèn)為他們正在通過一個(gè)私密的連接與對方直接對話，但事實(shí)上整個(gè)會話都被攻擊者完全控制。2. 網(wǎng)絡(luò)帶寬出現(xiàn)反常：通過某些帶寬控制器，可以實(shí)時(shí)看到目前網(wǎng)絡(luò)帶寬的分布情況，如果某臺機(jī)器長時(shí)間的占用了較大的帶寬，這臺機(jī)器就有可能在監(jiān)聽。如果你的網(wǎng)絡(luò)結(jié)構(gòu)正常，而又有20％－30％數(shù)據(jù)包丟失以致數(shù)據(jù)包無法順暢的流到目的地。證明你的網(wǎng)絡(luò)有嗅探器有兩條經(jīng)驗(yàn)：1. 網(wǎng)絡(luò)通訊丟包率非常高：通過一些網(wǎng)管軟件，可以看到信息包傳送情況，最簡單是ping命令。它工作在網(wǎng)絡(luò)的底層，把網(wǎng)絡(luò)傳輸?shù)娜繑?shù)據(jù)記錄下來. 嗅探器可以幫助網(wǎng)絡(luò)管理員查找網(wǎng)絡(luò)漏洞和檢測網(wǎng)絡(luò)性能。黑客通過將一個(gè)個(gè)“喪尸”或者稱為“肉雞”組成僵尸網(wǎng)絡(luò)，就可以發(fā)動(dòng)大規(guī)模DDoS或SYN洪水網(wǎng)絡(luò)攻擊，或者將“喪尸”們組到一起進(jìn)行帶有利益的刷網(wǎng)站流量、Email垃圾郵件群發(fā)，癱瘓預(yù)定目標(biāo)受雇攻擊競爭對手等商業(yè)活動(dòng)。 安全威脅 Web安全漏洞根據(jù)結(jié)合國網(wǎng)系統(tǒng)安全檢測項(xiàng)目常見安全問題及OWASP組織發(fā)布的安全漏洞，系統(tǒng)中存在的需要解決的安全風(fēng)險(xiǎn)如下：序號安全威脅產(chǎn)生環(huán)節(jié)1SQL注入編碼2失效的身份認(rèn)證及會話管理設(shè)計(jì)、編碼3跨站腳本（XSS）編碼4點(diǎn)擊劫持（ClickJacking）編碼4不安全的直接對象引用編碼5安全配置錯(cuò)誤配置實(shí)施6敏感信息泄露設(shè)計(jì)、編碼7功能級訪問控制缺失（失敗的URL訪問權(quán)限限制）設(shè)計(jì)8跨站請求偽造（CSRF）編碼9使用含有已知漏洞的組件管理、設(shè)計(jì)10未驗(yàn)證的重定向和轉(zhuǎn)發(fā)編碼11傳輸層保護(hù)不足設(shè)計(jì)、編碼12文件上傳漏洞編碼13不安全的加密存儲設(shè)計(jì)、編碼 拒絕服務(wù)攻擊分布式拒絕服務(wù)攻擊（英文：Distributed Denial of Service，縮寫：DDoS）亦稱洪水攻擊?？蓪徲?jì)性對出現(xiàn)的安全問題提供調(diào)查的依據(jù)和手段。完整性要求保護(hù)數(shù)據(jù)內(nèi)容是完整、沒有被篡改的。安全的幾個(gè)基本要素為機(jī)密性、完整性、可用性、可審計(jì)性、不可抵賴性等方面的安全要求。7. 采用數(shù)據(jù)庫作為系統(tǒng)間接口方式時(shí)，應(yīng)建立獨(dú)立的接口表，并按最小化特權(quán)原則進(jìn)行授權(quán)。5. 程序編碼結(jié)束后，應(yīng)對代碼進(jìn)行優(yōu)化，提高應(yīng)用處理 SQL 的性能。對于整數(shù)，應(yīng)該檢查數(shù)據(jù)大小是否超出了能夠表示的范圍；對于輸入的字符串，要確保長度沒有溢出，保證每一個(gè)字符都是有效的。 如果某個(gè)函數(shù)不能保證下標(biāo)所指向元素的有效性，或者根本不去檢查邊界時(shí)，不要使用該函數(shù)，應(yīng)該尋找一個(gè)安全的函數(shù)，或者自己重新編寫一個(gè)或者封裝一個(gè)不安全的函數(shù)，加上必要的判斷條件，使它安全。任何不需要使用的資源應(yīng)及時(shí)釋放。 文件操作的要求在需要進(jìn)行文件操作時(shí)，應(yīng)預(yù)先設(shè)定目前工作路徑（全路徑名），使用全路徑名表示文件的位置。 檢查所有函數(shù)返回代碼應(yīng)檢查所有函數(shù)調(diào)用返回代碼（錯(cuò)誤代碼），對每個(gè)期望的返回值設(shè)置相應(yīng)的處理程序。 提供備份機(jī)制為保證運(yùn)行數(shù)據(jù)的完整性和可用性，軟件開發(fā)應(yīng)設(shè)計(jì)有效的備份策略，根據(jù)業(yè)務(wù)和系統(tǒng)維護(hù)需要提供定期或不定期、自動(dòng)或手動(dòng)方式的備份機(jī)制。 使用應(yīng)用中間件中間件作為一種應(yīng)用層架構(gòu)，軟件設(shè)計(jì)應(yīng)盡可能使用中間件，中間件選型時(shí)應(yīng)選擇成熟的、業(yè)界主流的中間件產(chǎn)品。例如，在一些編程語言中signed 和 unsigned 的數(shù)據(jù)類型是視為不同的（如C或者C++語言）。3. 安全管理用戶。特權(quán)用戶類型包括：1. 超級用戶。2. 信息隱藏是不可靠、 效率低的做法，軟件應(yīng)該使用正確的安全保護(hù)措施，不要依賴隱藏進(jìn)行數(shù)據(jù)保護(hù)。 關(guān)鍵數(shù)據(jù)傳輸保護(hù)1. 軟件在傳輸關(guān)鍵數(shù)據(jù)時(shí)，使用加密算法保證數(shù)據(jù)在通信過程不被破譯，使用數(shù)字簽名保證數(shù)據(jù)在傳輸過程中的一致性和不可否認(rèn)性。 避免高危的服務(wù)、協(xié)議軟件應(yīng)盡量避免使用不加保護(hù)的及已被證明存在安全漏洞的服務(wù)和通信協(xié)議傳輸文件，如FTP 、SMTP。使用結(jié)構(gòu)化的編程語言，盡量避免使用遞歸和 Goto 聲明。 界面輸出最小化軟件應(yīng)保持用戶界面只提供必須的功能，沒有多余的、不必要的功能，確保用戶不能通過用戶界面直接訪問數(shù)據(jù)