【正文】 . 如果是使用 servlet 處理提交的表單數(shù)據(jù)，那么只在 doPost 方法中處理，參考代碼如下public class ValidationServlet extends HttpServlet{public void doPost(HttpServletRequest request, HttpServletResponse response) throws IOException, ServletException{ //對提交的表單數(shù)據(jù)進(jìn)行校驗(yàn)}}規(guī)則 ：在客戶端和服務(wù)器間傳遞明文的敏感數(shù)據(jù)時(shí)，必須使用帶服務(wù)器端證書的SSL。說明：禁止使用 HTTPGET 方法提交帶有敏感數(shù)據(jù)的表單（ form），因?yàn)樵摲椒ㄊ褂貌樵冏址畟鬟f表單數(shù)據(jù)，易被查看、篡改。 %注意：以上代碼對于采用強(qiáng)制緩存策略的代理服務(wù)器不生效（代理服務(wù)器默認(rèn)是不緩存的），要防止代理服務(wù)器緩存頁面，可以在鏈接后加入一個(gè)隨機(jī)數(shù) pageid,此時(shí)鏈接變成： 其中 2245562 數(shù)字是隨機(jī)生成的，每次請求此頁面時(shí)，隨機(jī)數(shù)都不同，IE 始終認(rèn)為此為一個(gè)新請求 ，并重新解析，生成新的響應(yīng)頁面。 (Pragma,nocache)。說明：帶有敏感數(shù)據(jù)的 Web 頁面都應(yīng)該禁止緩存，以防止敏感信息泄漏或通過代理服務(wù)器上網(wǎng)的用戶數(shù)據(jù)互竄問題。說明：禁止在日志中記錄明文的敏感數(shù)據(jù)（如口令、會(huì)話標(biāo)識(shí) jsessionid 等）， 防止敏感信息泄漏。推薦的不可逆加密算法： SHA25SHA384 、SHA512，HMACSHA256 、HMACSHA38HMACSHA512 。場景 2：后臺(tái)服務(wù)端保存用戶的登錄口令在該場景下，一般情況是：客戶端提交用戶名及用戶口令，后臺(tái)服務(wù)端對用戶名及用戶口令進(jìn)行驗(yàn)證，然后返回驗(yàn)證的結(jié)果。實(shí)施指導(dǎo)：場景 1：后臺(tái)服務(wù)端保存數(shù)據(jù)庫的登錄口令后臺(tái)服務(wù)器登錄數(shù)據(jù)庫需要使用登錄數(shù)據(jù)庫的明文口令，此時(shí)后臺(tái)服務(wù)器加密保存該口令后，下次登錄時(shí)需要還原成明文，因此，在這種情況下，不可用不可逆的加密算法，而需要使用對稱加密算法或者非對稱加密算法，一般也不建議采用非對稱加密算法。規(guī)則 ：禁止在隱藏域中存放明文形式的敏感數(shù)據(jù)。規(guī)則 ：禁止在 cookie 中以明文形式存儲(chǔ)敏感數(shù)據(jù)。說明：密鑰或帳號(hào)的口令必須經(jīng)過加密存儲(chǔ)。用于加密密鑰的密鑰可以硬編碼在代碼中。18 / 37 敏感數(shù)據(jù)存儲(chǔ)規(guī)則 ：禁止在代碼中存儲(chǔ)敏感數(shù)據(jù)。不能使用“sa”、“sysman”等管理帳號(hào)或高級別權(quán)限帳號(hào)。規(guī)則 ：對于應(yīng)用程序連接數(shù)據(jù)庫服務(wù)器的數(shù)據(jù)庫帳號(hào)，在滿足業(yè)務(wù)需求的前提下，必須使用最低級別權(quán)限的數(shù)據(jù)庫帳號(hào)。）這樣即使帳號(hào)被攻擊者盜取，也能把安全損失控制在最小的限度。一個(gè)角色只能擁有必需的權(quán)限。規(guī)則 ：一個(gè)帳號(hào)只能擁有必需的角色和必需的權(quán)限。規(guī)則 ：授權(quán)和用戶角色數(shù)據(jù)必須存放在服務(wù)器端，不能存放在客戶端，鑒權(quán)處理也必須在服務(wù)器端完成。說明：防止用戶通過直接輸入 URL，越權(quán)請求并執(zhí)行一些頁面或 servlet；建議通過過濾器實(shí)現(xiàn)。另外，為了節(jié)省內(nèi)存，嵌入式 webserver 進(jìn)程往往是動(dòng)態(tài)啟動(dòng)，為了使 session 更快的超時(shí)，建議增加心跳機(jī)制，對客戶端瀏覽器是否關(guān)閉進(jìn)行探測，5s 一個(gè)心跳，30s 沒有心跳則 session 超時(shí)，關(guān)閉該 session。? 服務(wù)端必須對客戶端提交的 session ID 的有效性進(jìn)行校驗(yàn)。規(guī)則 ：如果產(chǎn)品（如嵌入式系統(tǒng)）無法使用通用的 Web 容器，只能自己實(shí)現(xiàn) Web 服務(wù)，那么必須自己實(shí)現(xiàn)會(huì)話管理，并滿足以下要求：? 采用會(huì)話 cookie 維持會(huì)話。規(guī)則 ：所有登錄后才能訪問的頁面都必須有明顯的“注銷（或退出）”的按鈕或菜單，如果該按鈕或菜單被點(diǎn)擊，則必須使對應(yīng)的會(huì)話立即失效。說明：客戶端流程控制很容易被旁路（繞過），因此流程控制必須在服務(wù)器端實(shí)現(xiàn)。如果沒有特殊需求，禁止使用自動(dòng)發(fā)起請求的機(jī)制來阻止 session 超時(shí)。規(guī)則 ：必須設(shè)置會(huì)話超時(shí)機(jī)制，在超時(shí)過后必須要清除該會(huì)話信息。說明：防止遺留在內(nèi)存中的會(huì)話信息被竊取，減少內(nèi)存占用。說明：防止會(huì)話信息被篡改，如惡意用戶通過 URL 篡改手機(jī)號(hào)碼等。說明： 非法會(huì)話的概念就是通過一系列的服務(wù)端合法性檢測（包括訪問未授權(quán)資源，缺少16 / 37必要參數(shù)等情況），最終發(fā)現(xiàn)的不是正常請求產(chǎn)生的會(huì)話。對 JSP 語言，就是應(yīng)該通過 session 對象進(jìn)行存儲(chǔ)和維護(hù)。說明：會(huì)話過程中不允許修改的信息，例如，當(dāng)用戶通過認(rèn)證后，其用戶標(biāo)識(shí)在整個(gè)會(huì)話過程中不能被篡改。）備注：對于嵌入式系統(tǒng)的 Web，不適合本條規(guī)則，按“規(guī)則 ”實(shí)施。（cookie 有兩種：會(huì)話 cookie 和持久性 cookie；會(huì)話 cookie，也就是非持久性 cookie，不設(shè)置過期時(shí)間，其生命期為瀏覽器會(huì)話期間，只要關(guān)閉瀏覽器窗口，cookie 就消失了；會(huì)話 cookie 一般不存儲(chǔ)在硬盤上而是保存在內(nèi)存里。說明：目前主流的 Web 容器通過以下幾種方式維持會(huì)話：隱藏域、 URL 重寫、持久性cookie、會(huì)話 cookie，但通過隱藏域、URL 重寫或持久性 cookie 方式維持的會(huì)話容易被竊取，所以要求使用會(huì)話 cookie 維持會(huì)話。說明：以上規(guī)則可以通過使用電信軟件與核心網(wǎng)網(wǎng)絡(luò)安全工程部提供的 驗(yàn)證碼 CBB 來實(shí)現(xiàn)。規(guī)則 ：驗(yàn)證碼在一次使用后要求立即失效，新的請求需要重新生成驗(yàn)證碼。15 / 37說明：對于 java 語言可以使用類 來生成安全的隨機(jī)數(shù)。說明：在客戶端網(wǎng)頁上點(diǎn)擊鼠標(biāo)右鍵、選擇“查看源文件”時(shí)，必須看不到驗(yàn)證碼模塊生成的隨機(jī)數(shù)。說明：在使用驗(yàn)證碼生成模塊時(shí)不允許接收來自客戶端的任何參數(shù)，例如：禁止通過?code=1234 的 URL 請求，將 1234 作為驗(yàn)證碼隨機(jī)數(shù)。說明：驗(yàn)證碼不能使用文本格式，不允許多圖片組合（如用四個(gè)圖片拼成的驗(yàn)證碼）。特別說明：鎖客戶端 IP 策略存在缺陷，當(dāng)用戶使用 proxy 上網(wǎng)時(shí)，那么鎖定客戶端 IP 會(huì)導(dǎo)致使用該 proxy 上網(wǎng)的所有用戶在 IP 鎖定期間都不能使用該 Web應(yīng)用；鎖定用戶帳戶的策略也存在缺陷，當(dāng)攻擊者不斷嘗試某帳戶的口令，就給該帳戶帶來拒絕服務(wù)攻擊，使該帳戶不可用。建議優(yōu)先使用帳號(hào)鎖定策略。允許連續(xù)失敗的次數(shù)（指從最后一次成功以來失敗次數(shù)的累計(jì)值）可配置，取值范圍為：099 次，0 表示不執(zhí)行鎖定策略，建議默認(rèn)： 5 次。說明：登錄失敗應(yīng)該提示用戶：如果重試多少次不成功系統(tǒng)將會(huì)鎖定。說明：如雙因素認(rèn)證、SSL 雙向證書認(rèn)證、生物認(rèn)證等；還可以通過應(yīng)用程序限制只允許某些特定的 IP 地址訪問管理頁面，并且這些特定的 IP 地址可配置。(true)。(cookie)。(false)。Cookie cookie = new Cookie(JSESSIONID,())。實(shí)施指導(dǎo)：場景一：對于從 HTTP 轉(zhuǎn)到 HTTPS 再轉(zhuǎn)到 HTTP（也就是僅在認(rèn)證過程采用 HTTPS，認(rèn)證成功后又轉(zhuǎn)到 HTTP）的，在用戶名和密碼認(rèn)證通過后增加以下行代碼：().invalidate()。重新認(rèn)證，比如讓用戶重新輸入口令。規(guī)則 ：對于重要的管理事務(wù)或重要的交易事務(wù)要進(jìn)行重新認(rèn)證，以防范會(huì)話劫持和跨站請求偽造給用戶帶來損失。實(shí)施指導(dǎo)：將最終用戶 portal 和管理 portal 分別部署在不同的物理服務(wù)器；如果為了解決成本合設(shè)（部署在同一臺(tái)物理服務(wù)器上），那么，必須做到端口分離（通過不同的端口提供 Web 服務(wù)），一般的 Web 容器（如 tomcat）支持為不同的 Web 應(yīng)用創(chuàng)建不同的端口。規(guī)則 ：最終用戶 portal 和管理 portal 分離。規(guī)則 ：認(rèn)證失敗后，不能提示給用戶詳細(xì)以及明確的錯(cuò)誤原因，只能給出一般性的提示。規(guī)則 ：認(rèn)證處理模塊必須對提交的參數(shù)進(jìn)行合法性檢查。說明：可以存在多個(gè)登錄頁面，但是不允許存在多個(gè)可用于處理登錄認(rèn)證請求的模塊，防止不一致的認(rèn)證方式。說明：如果驗(yàn)證碼和用戶名、密碼分開提交，攻擊者就可以繞過驗(yàn)證碼校驗(yàn)（如：先手工提交正確的驗(yàn)證碼，再通過程序暴力破解），驗(yàn)證碼就形同虛設(shè)，攻擊者依然可以暴力破解用戶名及口令。備注：對于嵌入式系統(tǒng)，如果實(shí)現(xiàn)驗(yàn)證碼比較困難，可以通過多次認(rèn)證失敗鎖定客戶端 IP的方式來防止暴力破解。具體實(shí)現(xiàn)細(xì)節(jié)請查看 驗(yàn)證碼。如果覺得驗(yàn)證碼影響用戶體驗(yàn)，那么可以在前 3 次登錄嘗試中不使用驗(yàn)證碼，3 次登錄失敗后必須使用驗(yàn)證碼。規(guī)則 ：網(wǎng)頁上的登錄/認(rèn)證表單必須加入驗(yàn)證碼。12 / 37 認(rèn)證規(guī)則 ：對用戶的最終認(rèn)證處理過程必須放到應(yīng)用服務(wù)器進(jìn)行。說明：額外的訪問限制，可以限制請求來自企業(yè)內(nèi)網(wǎng)，可以建立 VPN，或采用雙向認(rèn)證的SSL；或采用更簡單的辦法，通過 IP 地址白名單對客戶端的 IP 地址進(jìn)行過濾判斷，實(shí)施參考《附件 3 客戶端 IP 鑒權(quán)實(shí)施指導(dǎo)》。說明：這樣便于通過防火墻的訪問控制策略和 Web 應(yīng)用來控制不同訪問等級的訪問，比如通過防火墻策略控制，只允許內(nèi)網(wǎng)訪問管理 Portal。建議 ：Web 服務(wù)器與應(yīng)用服務(wù)器需物理分離（即安裝在不同的主機(jī)上），以提高應(yīng)用的安全性。規(guī)則 ：Web 站點(diǎn)的根目錄必須安裝在非系統(tǒng)卷中。規(guī)則 ：如果 Web 應(yīng)用對 Inter 開放，Web 服務(wù)器應(yīng)該部署在其專用的服務(wù)器上，應(yīng)避免將數(shù)據(jù)庫服務(wù)器或其他核心應(yīng)用與 Web 服務(wù)器部署在同一臺(tái)主機(jī)上。而當(dāng)進(jìn)行保護(hù)時(shí)，應(yīng)用程序有時(shí)采用弱算法、使用過期或無效的證書，或不正確地使用這些技術(shù)。攻擊者可能利用這種弱保護(hù)數(shù)據(jù)實(shí)行身份盜竊、信用卡欺騙或或其他犯罪。如果沒有得到適當(dāng)驗(yàn)證，攻擊者可以將受害用戶重定向到釣魚網(wǎng)站或惡意網(wǎng)站，或者使用前轉(zhuǎn)去訪問未經(jīng)授權(quán)的網(wǎng)頁。但是，當(dāng)這些頁面被訪問時(shí)，應(yīng)用程序也需要執(zhí)行類似的訪問控制檢測，否則攻擊者將可以偽裝這些 URL 去訪問隱藏的網(wǎng)頁。這包括了對所有的軟件保護(hù)及時(shí)地更新，包括所有應(yīng)用程序的庫文件。6 安全配置錯(cuò)誤 好的安全需要對應(yīng)用程序、框架、應(yīng)用程序服務(wù)器、Web 服務(wù)器、數(shù)據(jù)庫服務(wù)器和平臺(tái)，定義和執(zhí)行安全配置。5 跨站請求偽造 一個(gè)跨站請求偽造攻擊迫使登錄用戶的瀏覽器將偽造的 HTTP 請求，包括該用戶的會(huì)話 cookie 和其他認(rèn)證信息，發(fā)送到一個(gè)存在漏洞的 Web 應(yīng)用程序。4 不安全的直接對象引用當(dāng)開發(fā)人員暴露一個(gè)對內(nèi)部實(shí)現(xiàn)對象的引用時(shí)，例如，一個(gè)文件、目錄或者數(shù)據(jù)庫密匙，就會(huì)產(chǎn)生一個(gè)不安全的直接對象引用。XSS 允許攻擊者在受害者的瀏覽器上執(zhí)行腳本，從而劫持用戶會(huì)話、危害網(wǎng)站、或者將用戶轉(zhuǎn)向至惡意網(wǎng)站。攻擊者發(fā)送的惡意數(shù)據(jù)可以欺騙解釋器，以執(zhí)行計(jì)劃外的命令或者訪問未被授權(quán)的數(shù)據(jù)。）表 2 十大 Web 應(yīng)用程序安全漏洞列表序號(hào) 漏洞名稱 漏洞描述1 注入 注入攻擊漏洞，例如 SQL、OS 命令以及 LDAP 注入。針對眾多的 Web 漏洞，OWASP 的專家們結(jié)合各自在各領(lǐng)域的應(yīng)用安全工作經(jīng)驗(yàn)及智慧，提出了十大 Web 應(yīng)用程序安全漏洞，幫助人們關(guān)注最嚴(yán)重的漏洞。 適用范圍本規(guī)范的制定考慮了公司各種 Web 應(yīng)用開發(fā)的共性，適合于公司絕大部分 Web 產(chǎn)品，要求 Web 產(chǎn)品開發(fā)必須遵循。異常管理 拒絕服務(wù)和敏感的系統(tǒng)級詳細(xì)信息泄露。包括命令執(zhí)行、跨站點(diǎn)腳本編寫 (XSS)、SQL 注入和緩沖區(qū)溢出攻擊等。安全審計(jì) 未能識(shí)別入侵征兆、無法證明用戶的操作，以及在問題診斷中存在困難。敏感數(shù)據(jù) 機(jī)密信息泄漏和數(shù)據(jù)篡改。權(quán)限管理 訪問機(jī)密或受限數(shù)據(jù)、篡改和執(zhí)行未授權(quán)操作。表 1 Web 應(yīng)用程序缺陷和由于不良設(shè)計(jì)可能導(dǎo)致的問題缺陷類別 由于不良設(shè)計(jì)可能導(dǎo)致的問題身份驗(yàn)證 身份偽造、口令破解、權(quán)限提升和未授權(quán)訪問。表 1 列出了一些 Web 缺陷類別，并針對每類缺陷列出了由于設(shè)計(jì)不當(dāng)可能會(huì)導(dǎo)致的潛在問題。另外還要考慮 Web 系統(tǒng)的安全配置，敏感數(shù)據(jù)的保護(hù)和用戶的權(quán)限管理，以及所有操作的安全審計(jì)。由于 HTTP 的開放性，Web 應(yīng)用程序必須能夠通過某種形式的身份驗(yàn)證來識(shí)別用戶，并確保身份驗(yàn)證過程是安全的，同樣必須很好地保護(hù)用于跟蹤已驗(yàn)證用戶的會(huì)話處理機(jī)制。 技術(shù)框架8 / 37圖 1 典型的 Web 安全技術(shù)框架圖 1 顯示了典型的 Web 安全的技術(shù)框架和安全技術(shù)點(diǎn)，這些安全技術(shù)點(diǎn)，貫穿整個(gè)Web 設(shè)計(jì)開發(fā)過程。本規(guī)范就是提供一套完善的、系統(tǒng)化的、實(shí)用的 Web 安全開發(fā)方法供 Web 研發(fā)人員使用，以期達(dá)到提高 Web 安全的目的。許多程序員不知道如何開發(fā)安全的應(yīng)用程序，開發(fā)出來的 Web 應(yīng)用存在較多的安全漏洞，這些安全漏洞一旦被黑客利用將導(dǎo)致嚴(yán)重甚至是災(zāi)難性的后果。增加了“ DWR”何偉祥 00162822吳淑榮 00197720魏建雄 00222906謝和坤 00197709李田 00042091孫波 00175839王偉 00207440陳偉 00141500增加“規(guī)則、規(guī)則、規(guī)則、建議、 PHP”增加“ RESTful Web 4 / 37規(guī)范號(hào) 主要起草部門專家 主要評審部門專家 修訂情況朱雙紅 00051429 Service”修改“規(guī)則、規(guī)則、規(guī)則、規(guī)則”刪除“ 口令策略”和“規(guī)則、規(guī)則、規(guī)則”附件文檔作為對象直接插入主文檔5 / 37目 錄 Table of Contents1 概述 ...............