【正文】 或者直接訪問被保護(hù)對(duì)象。如果進(jìn)程之間需要交互，則這些交互操作應(yīng)同步。如果軟件需要使用多任務(wù)和多進(jìn)程，應(yīng)該認(rèn)真分析研究多任務(wù)和多進(jìn)程會(huì)不會(huì)發(fā)生沖突，同步所有的進(jìn)程和任務(wù)以避免沖突。3. 將特權(quán)的有效時(shí)間或者可以有效的時(shí)間限制到絕對(duì)最小。 最小化特權(quán)1. 只為程序中需要特權(quán)的部分授與特權(quán)。4. 只有在上一個(gè)任務(wù)完成后才開始下一個(gè)任務(wù)。2. 系統(tǒng)調(diào)用只在確實(shí)需要的時(shí)候。 最小化功能根據(jù)“沒有明確允許的就默認(rèn)禁止”的原則， 軟件應(yīng)只包含那些為達(dá)到某個(gè)目標(biāo)而確實(shí)需要的功能，不應(yīng)包含只是在將來某個(gè)時(shí)間需要但需求說明書中沒有的功能。安全可信模塊應(yīng)該與其它模塊分離，由經(jīng)授權(quán)的內(nèi)部專人進(jìn)行管理。 模塊劃分1. 軟件應(yīng)該按照安全性劃分模塊，審計(jì)和訪問控制模塊為安全可信模塊，其它模塊為不可信任模塊。3 安全編程原則 統(tǒng)一的安全規(guī)范每個(gè)軟件項(xiàng)目在設(shè)計(jì)階段都應(yīng)明確在項(xiàng)目實(shí)施過程中項(xiàng)目組應(yīng)遵循的統(tǒng)一規(guī)范，具體包括：1. 命名規(guī)則、組件使用規(guī)范、異常處理規(guī)范、日志處理規(guī)范、工具使用要求、 代碼集成規(guī)范。為網(wǎng)景公司的前雇員Lou Montulli在1993年3月所發(fā)明。 CookieCookie（復(fù)數(shù)形態(tài)Cookies），中文名稱為小型文本文件或小甜餅，指某些網(wǎng)站為了辨別用戶身份而儲(chǔ)存在用戶本地終端（Client Side）上的數(shù)據(jù)（通常經(jīng)過加密）。當(dāng)客戶端在多個(gè)服務(wù)器調(diào)取數(shù)據(jù)時(shí)，保持會(huì)話狀態(tài)的一致性是需要注意的，客戶端需用同時(shí)保持和某一個(gè)主機(jī)的連接，或者多個(gè)服務(wù)器端需要共享一個(gè)儲(chǔ)存會(huì)話信息的文件系統(tǒng)或者數(shù)據(jù)庫。在不包含會(huì)話層（例如UDP）或者是無法長(zhǎng)時(shí)間駐留會(huì)話層（例如HTTP）的傳輸協(xié)議中，會(huì)話的維持需要依靠在傳輸數(shù)據(jù)中的高級(jí)別程序。HTTPS不應(yīng)與在RFC 2660中定義的安全超文本傳輸協(xié)議（SHTTP）相混。 HTTPS超文本傳輸安全協(xié)議（縮寫：HTTPS，英語：Hypertext Transfer Protocol Secure）是超文本傳輸協(xié)議和SSL/TLS的組合，用以提供加密通訊及對(duì)網(wǎng)絡(luò)服務(wù)器身份的鑒定。IETF（）將SSL作了標(biāo)準(zhǔn)化，即RFC2246，并將其稱為TLS（Transport Layer Security），其最新版本是RFC5246,。 TLSSSL（Secure Sockets Layer）是網(wǎng)景公司（Netscape）設(shè)計(jì)的主要用于Web的安全傳輸協(xié)議。現(xiàn)行Web瀏覽器亦普遍將HTTP和SSL相結(jié)合，從而實(shí)現(xiàn)安全通信。SSL采用公開密鑰技術(shù)，保證兩個(gè)應(yīng)用間通信的保密性和可靠性，使客戶與服務(wù)器應(yīng)用之間的通信不被攻擊者竊聽。 SSL安全套接層（Secure Sockets Layer，SSL），一種安全協(xié)議，是網(wǎng)景公司（Netscape）在推出Web瀏覽器首版的同時(shí)提出的，目的是為網(wǎng)絡(luò)通信提供安全及數(shù)據(jù)完整性。 臨時(shí)文件創(chuàng)建臨時(shí)文件的程序會(huì)在完成時(shí)將其刪除。 參數(shù)化查詢參數(shù)化查詢（Parameterized Query 或 Parameterized Statement）是指在設(shè)計(jì)與數(shù)據(jù)庫鏈接并訪問數(shù)據(jù)時(shí)，在需要填入數(shù)值或數(shù)據(jù)的地方，使用參數(shù) (Parameter) 來給值，這個(gè)方法目前已被視為最有效可預(yù)防SQL注入攻擊 (SQL Injection) 的攻擊手法的防御方式。amp。例如在 SQL 查詢中，單引號(hào)（‘）是危險(xiǎn)的字符；在文件系統(tǒng)路徑中兩個(gè)點(diǎn)號(hào)（..）是危險(xiǎn)的字符； 在命令 shell 中，分號(hào)（；）和雙 amp。當(dāng)數(shù)據(jù)要從不可信的一側(cè)到可信一側(cè)的時(shí)候，需要使用驗(yàn)證邏輯進(jìn)行判斷。 死鎖死鎖是操作系統(tǒng)或軟件運(yùn)行的一種狀態(tài)：在多任務(wù)系統(tǒng)下，當(dāng)一個(gè)或多個(gè)進(jìn)程等待系統(tǒng)資源，而資源又被進(jìn)程本身或其它進(jìn)程占用時(shí)，就形成了死鎖。 信息隱藏信息隱藏指在設(shè)計(jì)和確定模塊時(shí)，使得一個(gè)模塊內(nèi)包含的特定信息（過程或數(shù)據(jù)），對(duì)于不需要這些信息的其他模塊來說，是不可訪問的。 敏感信息系統(tǒng)的敏感信息包括用戶身份信息、認(rèn)證信息、授權(quán)信息、交易過程中的私密或隱私信息、其它的敏感信息。 安全可信模塊審計(jì)和訪問控制模塊是唯一的安全可信模塊。 脆弱性脆弱性指計(jì)算機(jī)系統(tǒng)安全方面的缺陷，使得系統(tǒng)或其應(yīng)用數(shù)據(jù)的保密性、完整性、可用性、訪問控制、監(jiān)測(cè)機(jī)制等面臨威脅。它采用子程序、程式碼區(qū)塊、for循環(huán)以及while循環(huán)等結(jié)構(gòu)，來取代傳統(tǒng)的goto。 WEB 開發(fā)規(guī)范部分則指導(dǎo)用戶在WEB 系統(tǒng)（ B/S 架構(gòu)應(yīng)用）的研發(fā)方面時(shí)如何增加對(duì)應(yīng)用軟件的保護(hù)。 2 安全編程概念 安全編程安全編程是指開發(fā)人員首先需要具備一定的安全知識(shí)，然后識(shí)別數(shù)據(jù)在流轉(zhuǎn)（輸入、處理和輸出）過程中可能面對(duì)的威脅，對(duì)這些威脅進(jìn)行分析得出其利用的漏洞，通過合理地編寫代碼消除這些漏洞，降低軟件面臨的風(fēng)險(xiǎn)。使本組織能以標(biāo)準(zhǔn)的、規(guī)范的方式設(shè)計(jì)和編碼。這并非危言聳聽，類似的網(wǎng)上事故舉不勝舉，公司的Web產(chǎn)品也曾多次遭黑客攻擊，甚至有黑客利用公司W(wǎng)eb產(chǎn)品的漏洞敲詐運(yùn)營(yíng)商，造成極其惡劣的影響。黑客攻擊技術(shù)越來越成熟和大眾化，針對(duì)Web的攻擊和破壞不斷增長(zhǎng)，Web安全風(fēng)險(xiǎn)達(dá)到了前所未有的高度。應(yīng)用系統(tǒng)安全開發(fā)技術(shù)規(guī)范（版本號(hào) ）朗新科技股份有限公司二〇一五年十二月51 / 61更改履歷版本號(hào)修改編號(hào)更改時(shí)間更改的圖表和章節(jié)號(hào)更改簡(jiǎn)要描述更改人批準(zhǔn)人20131124初稿施偉施偉20151119修改宋月欣陳志明20151130修改宋月欣陳志明2015123修改宋月欣施偉2015123修改施偉注：更改人除形成初稿，以后每次修改在未批準(zhǔn)確認(rèn)前均需采用修訂的方式進(jìn)行修改。目錄1 背景與目標(biāo) 12 安全編程概念 1 安全編程 1 結(jié)構(gòu)化編程 2 脆弱性 2 可信計(jì)算 2 安全可信模塊 3 不可信任模塊 3 敏感信息 3 特權(quán) 3 信息隱藏 3 中間件 3 死鎖 4 可信邊界 4 元字符 4 參數(shù)化查詢 4 UNIX JAIL環(huán)境 4 臨時(shí)文件 4 信息熵 5 SSL 5 TLS 5 HTTPS 5 Http會(huì)話 5 Cookie 6 HttpOnly Cookie 63 安全編程原則 6 統(tǒng)一的安全規(guī)范 6 模塊劃分 6 最小化功能 7 最小化特權(quán) 7 對(duì)多任務(wù)、多進(jìn)程加以關(guān)注 7 界面輸出最小化 7 使代碼簡(jiǎn)單、最小化和易于修改 8 避免高危的服務(wù)、協(xié)議 8 數(shù)據(jù)和代碼分離 8 關(guān)鍵數(shù)據(jù)傳輸保護(hù) 8 禁止賦予用戶進(jìn)程特權(quán) 8 使用適當(dāng)?shù)臄?shù)據(jù)類型 9 使用經(jīng)過驗(yàn)證的安全代碼 9 使用應(yīng)用中間件 9 設(shè)計(jì)錯(cuò)誤、 異常處理機(jī)制 9 提供備份機(jī)制 9 檢查傳遞變量的合法性 9 檢查所有函數(shù)返回代碼 9 修改面向用戶的操作的反饋缺省描述 9 文件操作的要求 10 其他編碼原則 104 應(yīng)用安全分析 11 安全需求 11 安全威脅 11 Web安全漏洞 11 拒絕服務(wù)攻擊 12 嗅探攻擊 12 中間人攻擊 12 安全約束 135 安全編程要求 13 輸入處理 13 建立可信邊界 13 驗(yàn)證各種來源的輸入 14 保證所有的輸入信息是被驗(yàn)證過的 14 對(duì)輸入內(nèi)容進(jìn)行規(guī)范化處理后再進(jìn)行驗(yàn)證 15 選擇合適的數(shù)據(jù)驗(yàn)證方式 15 防范元字符攻擊 15 拒絕驗(yàn)證失敗的數(shù)據(jù) 15 在服務(wù)端進(jìn)行驗(yàn)證 15 建立統(tǒng)一的輸入驗(yàn)證接口 16 控制寫入日志的信息 16 從服務(wù)器端提取關(guān)鍵參數(shù) 16 輸出處理 16 限制返回給客戶的信息 16 建立錯(cuò)誤信息保護(hù)機(jī)制 16 數(shù)據(jù)庫訪問 16 合理分配數(shù)據(jù)庫訪問權(quán)限 16 合理存放數(shù)據(jù)庫連接帳號(hào)和密碼信息 17 使用參數(shù)化請(qǐng)求方式 17 對(duì) SQL 語句中來自于不可信區(qū)域的輸入?yún)?shù)進(jìn)行驗(yàn)證 18 對(duì)數(shù)據(jù)庫操作的返回?cái)?shù)據(jù)進(jìn)行驗(yàn)證 18 分次提取數(shù)據(jù) 18 通過 row（行）級(jí)別的訪問控制來使用數(shù)據(jù)庫 18 確保數(shù)據(jù)庫資源被釋放 18 文件操作 19 對(duì)上傳文件進(jìn)行限制 19 把文件名以及文件內(nèi)容作為不可信的輸入對(duì)待 19 安全的使用文件名 19 使用文件系統(tǒng)訪問控制 19 注意文件訪問競(jìng)爭(zhēng)條件 19 安全使用臨時(shí)文件 20 確保文件系統(tǒng)資源被釋放 206 安全特征 20 關(guān)注應(yīng)用的對(duì)象重用 20 用戶訪問控制信息的機(jī)密性 20 不要在客戶端存放敏感數(shù)據(jù) 20 避免內(nèi)存溢出 21 可配置數(shù)據(jù)保護(hù) 21 禁止在源代碼中寫入口令 21 隨機(jī)數(shù) 21 使用可信的密碼算法 22 異常管理 227 應(yīng)用安全設(shè)計(jì)規(guī)范 23 應(yīng)用安全規(guī)劃 23 數(shù)據(jù)安全等級(jí)劃分 23 數(shù)據(jù)庫規(guī)劃 23 用戶權(quán)限 23 數(shù)據(jù)源設(shè)計(jì) 23 外部系統(tǒng)訪問 23 角色劃分 24 URL規(guī)劃 24 程序文件目錄規(guī)劃 24 數(shù)據(jù)及程序分離 24 靜態(tài)程序資源 24 程序文件分類 24 Cookie 24 文件安全 25 文件存儲(chǔ) 25 文件操作 25 文件類型 25 第三方組件安全 25 組件兼容性 25 組件安全及成熟度 25 組件配置 25 Web Service 25 RESTful Web Service 26 應(yīng)用安全關(guān)注點(diǎn) 27 應(yīng)用安全限制應(yīng)對(duì)方案 29 外網(wǎng)隔離 29 外網(wǎng)文件操作 29 正向和反向隔離裝置（國(guó)網(wǎng)系統(tǒng)） 298 應(yīng)用安全開發(fā)規(guī)范 30 Java及Web安全編程規(guī)范 30 不信任未知 30 數(shù)據(jù)層開發(fā) 30 會(huì)話管理 32 Cookie 33 輸入驗(yàn)證 33 輸入文件名的驗(yàn)證 34 輸出處理 34 敏感信息處理 36 異常信息處理 37 特殊頁面跳轉(zhuǎn) 37 文件操作 37 資源釋放 38 內(nèi)存控制 38 外部程序調(diào)用漏洞 38 整數(shù)溢出 39 C++安全編程規(guī)范 39 不信任未知 39 免緩存區(qū)溢出 40 免緩整數(shù)溢出 42 域名合法性檢查 45 檢查返回值 46 產(chǎn)生隨機(jī)數(shù) 47 驗(yàn)證輸入文件名 48 類設(shè)計(jì)注意事項(xiàng) 48 外部程序調(diào)用漏洞 50 臨時(shí)文件處理 501 背景與目標(biāo)在Internet大眾化及Web技術(shù)飛速演變的今天，Web安全所面臨的挑戰(zhàn)日益嚴(yán)峻。許多程序員不知道如何開發(fā)安全的應(yīng)用程序，開發(fā)出來的Web應(yīng)用存在較多的安全漏洞，這些安全漏洞一旦被黑客利用將導(dǎo)致嚴(yán)重甚至是災(zāi)難性的后果。本規(guī)范為解決Web應(yīng)用系統(tǒng)安全問題，對(duì)主要的應(yīng)用安全問題進(jìn)行分析，并有針對(duì)性的從設(shè)計(jì)及開發(fā)規(guī)范、開發(fā)管理、安全組件框架、安全測(cè)試方面提供整體的安全解決方案。通過建立編碼規(guī)范，以使每個(gè)開發(fā)人員養(yǎng)成良好的編碼風(fēng)格和習(xí)慣；并以此形成開發(fā)小組編碼約定，提高程序的可靠性、可讀性、可修改性、可維護(hù)性和一致性等，增進(jìn)團(tuán)隊(duì)間的交流，并保證軟件產(chǎn)品的質(zhì)量。本規(guī)范對(duì)開發(fā)人員的編碼提出統(tǒng)一的安全要求， 主要涉及輸入處理、 輸出處理、 數(shù)據(jù)庫訪問、 文件操作、異常管理等方面，如下圖： 輸入處理部分能指導(dǎo)開發(fā)者避免用戶的不良輸入；輸出處理能指導(dǎo)開發(fā)者對(duì)輸出內(nèi)容進(jìn)行過濾； 數(shù)據(jù)庫訪問、 文件操作部分則能指導(dǎo)開發(fā)者進(jìn)行數(shù)據(jù)庫查詢， 寫入文件等操作時(shí)進(jìn)行防護(hù)； 而異常管理、敏感數(shù)據(jù)保護(hù)、對(duì)象重用等技術(shù)則指導(dǎo)開發(fā)者改進(jìn)軟件的自身缺陷。 結(jié)構(gòu)化編程結(jié)構(gòu)化編程，一種編程典范。希望借此來改善計(jì)算機(jī)程序的明晰性、品質(zhì)以及開發(fā)時(shí)間，并且避免寫出面條式代碼。 可信計(jì)算可信計(jì)算的行為會(huì)更全面地遵循設(shè)計(jì)，而執(zhí)行設(shè)計(jì)者和軟件編寫者所禁止的行為的概率很低。 不可信任模塊除審計(jì)和訪問控制模塊外其它所有模塊均為不可信模塊。 特權(quán)特權(quán)只是允許去做并不是每個(gè)人都可以做的事情。信息隱藏基本原理框圖： 中間件中間件是提供系統(tǒng)軟件和應(yīng)用軟件之間連接的軟件，將常用且重要的過程調(diào)用、分布式組件、消息隊(duì)列、事務(wù)、安全、連結(jié)器、商業(yè)流程、網(wǎng)絡(luò)并發(fā)、HTTP服務(wù)器、Web Service等功能集于一身或者分別在不同品牌的不同產(chǎn)品中分別完成。 可信邊界可信邊界可以被認(rèn)為是在程序中劃定的一條分隔線，一邊的數(shù)據(jù)是不可信的而另一邊則是可信的。 元字符元字符就是在編程語言中具有特定含義的字符或者字符串。（amp。）符號(hào)同樣是危險(xiǎn)的字符，而換行符（\n） 對(duì)日志文件很關(guān)鍵。 UNIX JAIL環(huán)境一個(gè)被改變根目錄的程序不可以訪問和命名在被改變根目錄外的文件，那個(gè)根目錄叫做“chroot監(jiān)獄（chroot jail,chroot prison)”。 信息熵信息熵指信息的不確定性,一則高信息度的信息熵是很低的,低信息度的熵則高。SSL在傳輸層對(duì)網(wǎng)絡(luò)連接進(jìn)行加密。它在服務(wù)器和客戶機(jī)兩端可同時(shí)被支持，目前已成為互聯(lián)網(wǎng)上保密通訊的工業(yè)標(biāo)準(zhǔn)。此協(xié)議和其繼任者是TLS。這種協(xié)議在Web上獲得了廣泛的應(yīng)用。從技術(shù)上講。HTTPS連接經(jīng)常被用于萬維網(wǎng)上的交易支付和企業(yè)信息系統(tǒng)中敏感信息的傳輸。 Http會(huì)話在計(jì)算機(jī)科學(xué)領(lǐng)域來說，尤其是在網(wǎng)絡(luò)領(lǐng)域，會(huì)話（session）是一種持久網(wǎng)絡(luò)協(xié)議