【正文】 的參數(shù)進(jìn)行輸入校驗(yàn)。：對RESTful Web Service調(diào)用進(jìn)行日志記錄。：如果RESTful Web Service只對特定的IP開放，那么必須對調(diào)用RESTful Web Service的客戶端IP進(jìn)行鑒權(quán)，只有在IP地址白名單中的客戶端才允許調(diào)用，IP地址白名單可配置。：通過RESTful Web Service傳遞敏感數(shù)據(jù)時(shí)，必須保障其機(jī)密性。：如果調(diào)用者的權(quán)限各不相同，那么必須對RESTful Web Service的調(diào)用進(jìn)行鑒權(quán)。注意：user和pass必須加密保存在配置文件或數(shù)據(jù)庫中，不能寫死在代碼中；傳輸時(shí)采用安全協(xié)議。說明：認(rèn)證就是確定誰在調(diào)用RESTful Web Service，并且證實(shí)調(diào)用者身份。 RESTful Web ServiceRESTful Web Service（也稱為 RESTful Web API）是一個(gè)使用HTTP并遵循REST原則的Web服務(wù)。：必須對Web Service提交的參數(shù)進(jìn)行輸入校驗(yàn)。：對Web Service接口調(diào)用進(jìn)行日志記錄。：如果Web Service只對特定的IP開放，那么必須對調(diào)用Web Service接口的客戶端IP進(jìn)行鑒權(quán)，只有在IP地址白名單中的客戶端才允許調(diào)用，IP地址白名單可配置。說明：重要的交易數(shù)據(jù)，如轉(zhuǎn)賬時(shí)涉及的“轉(zhuǎn)入賬號”、“轉(zhuǎn)出賬號”、“金額”等。方案2：采用安全協(xié)議。：通過Web Service接口傳遞敏感數(shù)據(jù)時(shí)，必須保障其機(jī)密性。說明：鑒權(quán)就是判斷調(diào)用者是否有權(quán)限調(diào)用該Web Service接口。實(shí)施指導(dǎo)：可以通過在消息頭中增加用戶名和口令，作為認(rèn)證憑據(jù)；對于安全性要求不高、只向同一信任域內(nèi)其他主機(jī)開放的Web Service接口，可以通過簡單的IP認(rèn)證來實(shí)現(xiàn)接口的認(rèn)證（只有服務(wù)器端指定IP地址的客戶端才允許調(diào)用，IP地址可配置）。 Web Service：對Web Service接口的調(diào)用必須進(jìn)行認(rèn)證。：通過網(wǎng)絡(luò)形式保存安全日志。說明：備份及清理機(jī)制包括定期備份及清理安全日志和監(jiān)控用于存放安全日志的磁盤空間的使用情況。說明：所需空間和具體業(yè)務(wù)、局點(diǎn)容量、日志保存周期相關(guān)，要根據(jù)實(shí)際情況估算。說明：限制日志模塊占用的資源，以防止如自動(dòng)的惡意登陸嘗試導(dǎo)致的資源枯竭類DOS攻擊；比如限制日志記錄占用的磁盤空間。確保日志的安全，限制對日志的訪問，這加大了攻擊者篡改日志文件以掩飾其攻擊行為的難度。：嚴(yán)格限制對安全日志的訪問。說明：安全事件包括登錄、注銷、添加、刪除、修改用戶、授權(quán)、取消權(quán)限、鑒權(quán)、修改用戶口令等；操作事件包括對業(yè)務(wù)系統(tǒng)配置參數(shù)的修改，對重要業(yè)務(wù)數(shù)據(jù)的創(chuàng)建、刪除、修改、查詢等；對于上述事件的結(jié)果，不管是成功還是失敗，都需要記錄日志。對于操作系統(tǒng)和Web容器的安全審計(jì)，可以參考對應(yīng)的操作系統(tǒng)安全基線和Web安全配置規(guī)范。說明：這些信息一旦傳送到客戶端，那么用戶也就可以獲取到了。說明：由于瀏覽器會(huì)保存URL歷史記錄，如果URL中攜帶會(huì)話標(biāo)識(shí)，則在多人共用的PC上會(huì)話標(biāo)識(shí)容易被其他人看到，一旦該會(huì)話標(biāo)識(shí)還在其生命有效期，則惡意用戶可以冒充受害用戶訪問Web應(yīng)用系統(tǒng)。原因：當(dāng)請求轉(zhuǎn)為請求的時(shí)候，因?yàn)樵鹊膕ession的secure屬性值是true，無法再協(xié)議中傳輸，因此，系統(tǒng)生成新的session，且新的session沒有繼承舊session的屬性和值，因此，無法保持會(huì)話連續(xù)。2. Web應(yīng)用中，從切換到過程中會(huì)丟失session，無法保持會(huì)話的連續(xù)。由于SSL對服務(wù)端的CPU資源消耗很大，實(shí)施時(shí)必須考慮服務(wù)器的承受能力。實(shí)施指導(dǎo)：1. 對于JSP頁面，將表單的屬性method賦值為post，如下form name=form1 method=post action=2. 如果是使用servlet處理提交的表單數(shù)據(jù)，那么只在doPost方法中處理，參考代碼如下public class ValidationServlet extends HttpServlet{public void doPost(HttpServletRequest request, HttpServletResponse response) throws IOException, ServletException{ //對提交的表單數(shù)據(jù)進(jìn)行校驗(yàn)}}：在客戶端和服務(wù)器間傳遞明文的敏感數(shù)據(jù)時(shí)，必須使用帶服務(wù)器端證書的SSL。說明：禁止使用 HTTPGET 方法提交帶有敏感數(shù)據(jù)的表單（form），因?yàn)樵摲椒ㄊ褂貌樵冏址畟鬟f表單數(shù)據(jù)，易被查看、篡改。pageid=2245562, 其中2245562數(shù)字是隨機(jī)生成的，每次請求此頁面時(shí)，隨機(jī)數(shù)都不同，IE始終認(rèn)為此為一個(gè)新請求，并重新解析，生成新的響應(yīng)頁面。 (Expires,0)。實(shí)施指導(dǎo)：在HTML頁面的HEAD標(biāo)簽內(nèi)加入如下代碼：HEADMETA HTTPEQUIV=Expires CONTENT=0 META HTTPEQUIV=Pragma CONTENT=nocache META HTTPEQUIV=Cachecontrol CONTENT=nocache META HTTPEQUIV=Cache CONTENT=nocache /HEAD在JSP頁面的最前面加入如下代碼：% (CacheControl,nocache)。：禁止帶有敏感數(shù)據(jù)的Web頁面緩存。：禁止在日志中記錄明文的敏感數(shù)據(jù)。此時(shí)，在后臺(tái)服務(wù)端，用戶口令可以不需要還原，因此建議使用不可逆的加密算法，對“用戶名+口令”字符串進(jìn)行加密。推薦的對稱加密算法：AES12AES19AES256。：禁止用自己開發(fā)的加密算法，必須使用公開、安全的標(biāo)準(zhǔn)加密算法。說明：cookie信息容易被竊取，盡量不要在cookie中存儲(chǔ)敏感數(shù)據(jù)；如果條件限制必須使用cookie存儲(chǔ)敏感信息時(shí)，必須先對敏感信息加密再存儲(chǔ)到cookie。例外情況，如果Web容器的配置文件中只能以明文方式配置連接數(shù)據(jù)庫的用戶名和口令，那么就不用強(qiáng)制遵循該規(guī)則，將該配置文件的屬性改為只有屬主可讀寫。：禁止密鑰或帳號的口令以明文形式存儲(chǔ)在數(shù)據(jù)庫或者文件中。說明：禁止在代碼中存儲(chǔ)如數(shù)據(jù)庫連接字符串、口令和密鑰之類的敏感數(shù)據(jù)，這樣容易導(dǎo)致泄密。 敏感數(shù)據(jù)保護(hù) 敏感數(shù)據(jù)定義敏感數(shù)據(jù)包括但不限于：口令、密鑰、證書、會(huì)話標(biāo)識(shí)、License、隱私數(shù)據(jù)（如短消息的內(nèi)容）、授權(quán)憑據(jù)、個(gè)人數(shù)據(jù)（如姓名、住址、電話等）等，在程序文件、配置文件、日志文件、備份文件及數(shù)據(jù)庫中都有可能包含敏感數(shù)據(jù)。說明：根據(jù)業(yè)務(wù)系統(tǒng)要求，創(chuàng)建相應(yīng)的數(shù)據(jù)庫帳號，并授予必需的數(shù)據(jù)庫權(quán)限。：對于運(yùn)行應(yīng)用程序的操作系統(tǒng)帳號，不應(yīng)使用“root”、“administrator”、“supervisor”等特權(quán)帳號或高級別權(quán)限帳號，應(yīng)該盡可能地使用低級別權(quán)限的操作系統(tǒng)帳號。說明：做到權(quán)限最小化和職責(zé)分離（職責(zé)分離就是分清帳號角色，系統(tǒng)管理帳號只用于系統(tǒng)管理，審計(jì)帳號只用于審計(jì)，操作員帳號只用于業(yè)務(wù)維護(hù)操作，普通用戶帳號只能使用業(yè)務(wù)。一個(gè)組只能擁有必需的角色和必需的權(quán)限。說明：禁止將授權(quán)和角色數(shù)據(jù)存放在客戶端中（比如cookie或隱藏域中），以防止被篡改。實(shí)施指導(dǎo)： 請參考“附件5 ”。 權(quán)限管理：對于每一個(gè)需要授權(quán)訪問的頁面或servlet的請求都必須核實(shí)用戶的會(huì)話標(biāo)識(shí)是否合法、用戶是否被授權(quán)執(zhí)行這個(gè)操作。說明：在嵌入式系統(tǒng)中部署Web應(yīng)用，由于軟硬件資源所限，往往無法使用通用的Web容器及容器的會(huì)話管理功能，只能自己實(shí)現(xiàn)。? 生成會(huì)話標(biāo)識(shí)（session ID）要保證足夠的隨機(jī)、離散，以便不能被猜測、枚舉，要求session ID要至少要32字節(jié)，要支持字母和數(shù)字字符集。說明：這樣做是為了讓用戶能夠方便地、安全地注銷或退出，減小會(huì)話劫持的風(fēng)險(xiǎn)。實(shí)施指導(dǎo)：可以通過在session對象中創(chuàng)建一個(gè)表示流程當(dāng)前狀態(tài)的標(biāo)識(shí)位，用0、…、N分別表示不同的處理步驟，標(biāo)識(shí)位的初始值為0，當(dāng)接收到步驟N的處理請求時(shí)，判斷該標(biāo)識(shí)位是否為N1，如果不為N1，則表示步驟被繞過（或重復(fù)或亂序），拒絕受理，否則受理，受理完成后更改標(biāo)識(shí)位為N。：在服務(wù)器端對業(yè)務(wù)流程進(jìn)行必要的流程安全控制，保證流程銜接正確，防止關(guān)鍵鑒別步驟被繞過、重復(fù)、亂序。說明：建議默認(rèn)會(huì)話超時(shí)時(shí)間為10分鐘（備注：對于嵌入式系統(tǒng)中的Web，建議默認(rèn)超時(shí)時(shí)間為5分鐘，以減少系統(tǒng)資源占用）。實(shí)施指導(dǎo)：對于JSP或java語言使用如下語句：().invalidate()。：當(dāng)用戶退出時(shí)，必須清除該用戶的會(huì)話信息。：禁止使用客戶端提交的未經(jīng)審核的信息來給會(huì)話信息賦值。：當(dāng)Web應(yīng)用跟蹤到非法會(huì)話，則必須記錄日志、清除會(huì)話并返回到認(rèn)證界面。禁止通過隱藏域或URL重寫等不安全的方式存儲(chǔ)和維護(hù)。：會(huì)話過程中不允許修改的信息，必須作為會(huì)話狀態(tài)的一部分在服務(wù)器端存儲(chǔ)和維護(hù)。持久性cookie，設(shè)置了過期時(shí)間，被瀏覽器保存到硬盤上，關(guān)閉后再次打開瀏覽器，持久性cookie仍然有效直到超過設(shè)定的過期時(shí)間。如果條件限制必須通過持久性cookie維持會(huì)話的話，那么cookie信息中的重要數(shù)據(jù)部分如身份信息、計(jì)費(fèi)信息等都必須進(jìn)行加密。 會(huì)話管理：使用會(huì)話cookie維持會(huì)話。說明：進(jìn)行驗(yàn)證碼校驗(yàn)后，立即將會(huì)話中的驗(yàn)證碼信息清空，而不是等到生成新的驗(yàn)證碼時(shí)再去覆蓋舊的驗(yàn)證碼，防止驗(yàn)證碼多次有效；注意：當(dāng)客戶端提交的驗(yàn)證碼為空，驗(yàn)證不通過。：驗(yàn)證碼要求有背景干擾，背景干擾元素的顏色、位置、數(shù)量要求隨機(jī)變化。：驗(yàn)證碼字符串要求是隨機(jī)生成，生成的隨機(jī)數(shù)必須是安全的。：驗(yàn)證碼模塊生成的隨機(jī)數(shù)不能在客戶端的靜態(tài)頁面中的網(wǎng)頁源代碼里出現(xiàn)。：驗(yàn)證碼內(nèi)容不能與客戶端提交的任何信息相關(guān)聯(lián)。 驗(yàn)證碼：驗(yàn)證碼必須是單一圖片，且只能采用 JPEG、PNG或GIF格式。注意：應(yīng)用程序的超級用戶帳號不能被鎖定，只能鎖定操作的客戶端所在的 IP，這是為了防止系統(tǒng)不可用。鎖定時(shí)長的取值范圍為：0999 分鐘，建議默認(rèn)：30 分鐘，當(dāng)取值為 0 時(shí)，表示無限期鎖定，只能通過管理員手動(dòng)解鎖（需要提供管理員對服務(wù)器鎖定其它用戶帳號/IP進(jìn)行解鎖的功能界面）。在鎖定期間不允許該用戶帳號（或者客戶端所在機(jī)器的 IP 地址）登錄。：同一客戶端在多次連續(xù)嘗試登錄失敗后，服務(wù)端需要進(jìn)行用戶帳號或者是客戶端所在機(jī)器的 IP 地址的鎖定策略，且該鎖定策略必須設(shè)置解鎖時(shí)長，超時(shí)后自動(dòng)解鎖。：管理頁面建議實(shí)施強(qiáng)身份認(rèn)證。場景二：對于全程采用HTTPS協(xié)議，或者全程采用HTTP協(xié)議的，在用戶名和密碼認(rèn)證通過后增加以下行代碼： ().invalidate()。 (())。 (1)。 HttpSession newSession=(true)。：用戶名和密碼認(rèn)證通過后，必須更換會(huì)話標(biāo)識(shí)，以防止會(huì)話固定（session fixation）漏洞。說明：重要的管理事務(wù)，比如重新啟動(dòng)業(yè)務(wù)模塊；重要的交易事務(wù)，比如轉(zhuǎn)賬、余額轉(zhuǎn)移、充值等。：禁止在系統(tǒng)中預(yù)留任何的后門帳號或特殊的訪問機(jī)制。說明：最終用戶portal和管理portal分離，防止相互影響，防止來自用戶面的攻擊影響管理面。說明：可以提示：“用戶名或者口令錯(cuò)誤，登錄失敗”；不能提示：“用戶名不存在”、“口令必須是 6 位”等等。說明：。：所有針對其他第三方開放接口的認(rèn)證處理模塊必須統(tǒng)一。：所有登錄頁面的認(rèn)證處理模塊必須統(tǒng)一。：用戶名、密碼和驗(yàn)證碼必須在同一個(gè)請求中提交給服務(wù)器，必須先判斷驗(yàn)證碼是否正確，只有當(dāng)驗(yàn)證碼檢驗(yàn)通過后才進(jìn)行用戶名和密碼的檢驗(yàn)，否則直接提示驗(yàn)證碼錯(cuò)誤。如圖： 圖2 驗(yàn)證碼實(shí)施指導(dǎo)：建議使用電信軟件與核心網(wǎng)網(wǎng)絡(luò)安全工程部提供的驗(yàn)證碼CBB。如果覺得驗(yàn)證碼影響用戶體驗(yàn)，那么可以在前3次登錄嘗試中不使用驗(yàn)證碼，3次登錄失敗后必須使用驗(yàn)證碼。：網(wǎng)頁上的登錄/認(rèn)證表單必須加入驗(yàn)證碼。 認(rèn)證：對用戶的最終認(rèn)證處理過程必須放到應(yīng)用服務(wù)器進(jìn)行。說明：額外的訪問限制，可以限制請求來自企業(yè)內(nèi)網(wǎng)，