【正文】 的SSL；或采用更簡(jiǎn)單的辦法，通過(guò)IP地址白名單對(duì)客戶端的IP地址進(jìn)行過(guò)濾判斷，實(shí)施參考《附件3客戶端IP鑒權(quán)實(shí)施指導(dǎo)》。說(shuō)明：這樣便于通過(guò)防火墻的訪問控制策略和Web應(yīng)用來(lái)控制不同訪問等級(jí)的訪問，比如通過(guò)防火墻策略控制，只允許內(nèi)網(wǎng)訪問管理Portal。：Web服務(wù)器與應(yīng)用服務(wù)器需物理分離（即安裝在不同的主機(jī)上），以提高應(yīng)用的安全性。：Web站點(diǎn)的根目錄必須安裝在非系統(tǒng)卷中。：如果 Web 應(yīng)用對(duì) Internet 開放，Web服務(wù)器應(yīng)該部署在其專用的服務(wù)器上，應(yīng)避免將數(shù)據(jù)庫(kù)服務(wù)器或其他核心應(yīng)用與Web服務(wù)器部署在同一臺(tái)主機(jī)上。而當(dāng)進(jìn)行保護(hù)時(shí)，應(yīng)用程序有時(shí)采用弱算法、使用過(guò)期或無(wú)效的證書，或不正確地使用這些技術(shù)。攻擊者可能利用這種弱保護(hù)數(shù)據(jù)實(shí)行身份盜竊、信用卡欺騙或或其他犯罪。如果沒有得到適當(dāng)驗(yàn)證，攻擊者可以將受害用戶重定向到釣魚網(wǎng)站或惡意網(wǎng)站，或者使用前轉(zhuǎn)去訪問未經(jīng)授權(quán)的網(wǎng)頁(yè)。但是，當(dāng)這些頁(yè)面被訪問時(shí)，應(yīng)用程序也需要執(zhí)行類似的訪問控制檢測(cè)，否則攻擊者將可以偽裝這些URL去訪問隱藏的網(wǎng)頁(yè)。這包括了對(duì)所有的軟件保護(hù)及時(shí)地更新，包括所有應(yīng)用程序的庫(kù)文件。6 安全配置錯(cuò)誤 好的安全需要對(duì)應(yīng)用程序、框架、應(yīng)用程序服務(wù)器、Web服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器和平臺(tái)，定義和執(zhí)行安全配置。5 跨站請(qǐng)求偽造 一個(gè)跨站請(qǐng)求偽造攻擊迫使登錄用戶的瀏覽器將偽造的HTTP請(qǐng)求，包括該用戶的會(huì)話cookie和其他認(rèn)證信息，發(fā)送到一個(gè)存在漏洞的Web應(yīng)用程序。4 不安全的直接對(duì)象引用 當(dāng)開發(fā)人員暴露一個(gè)對(duì)內(nèi)部實(shí)現(xiàn)對(duì)象的引用時(shí)，例如，一個(gè)文件、目錄或者數(shù)據(jù)庫(kù)密匙，就會(huì)產(chǎn)生一個(gè)不安全的直接對(duì)象引用。XSS允許攻擊者在受害者的瀏覽器上執(zhí)行腳本，從而劫持用戶會(huì)話、危害網(wǎng)站、或者將用戶轉(zhuǎn)向至惡意網(wǎng)站。攻擊者發(fā)送的惡意數(shù)據(jù)可以欺騙解釋器，以執(zhí)行計(jì)劃外的命令或者訪問未被授權(quán)的數(shù)據(jù)。）表2 十大Web應(yīng)用程序安全漏洞列表序號(hào) 漏洞名稱 漏洞描述1 注入 注入攻擊漏洞，例如SQL、OS命令以及LDAP注入。針對(duì)眾多的Web漏洞，OWASP的專家們結(jié)合各自在各領(lǐng)域的應(yīng)用安全工作經(jīng)驗(yàn)及智慧，提出了十大Web應(yīng)用程序安全漏洞，幫助人們關(guān)注最嚴(yán)重的漏洞。 說(shuō)明：對(duì)此規(guī)則或建議進(jìn)行相應(yīng)的解釋178。 規(guī)則：強(qiáng)制必須遵守的原則178。 適用范圍本規(guī)范的制定考慮了公司各種Web應(yīng)用開發(fā)的共性，適合于公司絕大部分Web產(chǎn)品，要求Web產(chǎn)品開發(fā)必須遵循。異常管理 拒絕服務(wù)和敏感的系統(tǒng)級(jí)詳細(xì)信息泄露。包括命令執(zhí)行、跨站點(diǎn)腳本編寫 (XSS)、SQL 注入和緩沖區(qū)溢出攻擊等。安全審計(jì) 未能識(shí)別入侵征兆、無(wú)法證明用戶的操作，以及在問題診斷中存在困難。敏感數(shù)據(jù) 機(jī)密信息泄漏和數(shù)據(jù)篡改。權(quán)限管理 訪問機(jī)密或受限數(shù)據(jù)、篡改和執(zhí)行未授權(quán)操作。表1 Web 應(yīng)用程序缺陷和由于不良設(shè)計(jì)可能導(dǎo)致的問題缺陷類別 由于不良設(shè)計(jì)可能導(dǎo)致的問題身份驗(yàn)證 身份偽造、口令破解、權(quán)限提升和未授權(quán)訪問。表 1 列出了一些Web缺陷類別，并針對(duì)每類缺陷列出了由于設(shè)計(jì)不當(dāng)可能會(huì)導(dǎo)致的潛在問題。另外還要考慮Web系統(tǒng)的安全配置，敏感數(shù)據(jù)的保護(hù)和用戶的權(quán)限管理，以及所有操作的安全審計(jì)。由于HTTP的開放性，Web應(yīng)用程序必須能夠通過(guò)某種形式的身份驗(yàn)證來(lái)識(shí)別用戶，并確保身份驗(yàn)證過(guò)程是安全的，同樣必須很好地保護(hù)用于跟蹤已驗(yàn)證用戶的會(huì)話處理機(jī)制。 技術(shù)框架 圖1 典型的Web安全技術(shù)框架圖1 顯示了典型的Web安全的技術(shù)框架和安全技術(shù)點(diǎn)，這些安全技術(shù)點(diǎn)，貫穿整個(gè)Web設(shè)計(jì)開發(fā)過(guò)程。本規(guī)范就是提供一套完善的、系統(tǒng)化的、實(shí)用的Web安全開發(fā)方法供Web研發(fā)人員使用，以期達(dá)到提高Web安全的目的。許多程序員不知道如何開發(fā)安全的應(yīng)用程序，開發(fā)出來(lái)的Web應(yīng)用存在較多的安全漏洞，這些安全漏洞一旦被黑客利用將導(dǎo)致嚴(yán)重甚至是災(zāi)難性的后果。增加了“ DWR” 何偉祥 00162822吳淑榮 00197720魏建雄 00222906謝和坤 00197709李田 00042091孫波 00175839朱雙紅 00051429 王偉 00207440陳偉 00141500 增加“、 PHP”增加“ RESTful Web Service”修改“、”刪除“”和“、”附件文檔作為對(duì)象直接插入主文檔 目 錄 Table of Contents1 概述 7 背景簡(jiǎn)介 7 技術(shù)框架 7 使用對(duì)象 8 適用范圍 8 用詞約定 92 常見WEB安全漏洞 93 WEB設(shè)計(jì)安全規(guī)范 10 WEB部署要求 10 身份驗(yàn)證 11 口令 11 認(rèn)證 11 驗(yàn)證碼 13 會(huì)話管理 13 權(quán)限管理 15 敏感數(shù)據(jù)保護(hù) 16 敏感數(shù)據(jù)定義 16 敏感數(shù)據(jù)存儲(chǔ) 16 敏感數(shù)據(jù)傳輸 17 安全審計(jì) 18 WEB SERVICE 19 RESTFUL WEB SERVICE 20 DWR 214 WEB編程安全規(guī)范 22 輸入校驗(yàn) 22 輸出編碼 25 上傳下載 26 異常處理 26 代碼注釋 26 歸檔要求 27 其他 28 PHP 295 WEB安全配置規(guī)范 316 配套CBB介紹 31 WAF CBB 31 驗(yàn)證碼CBB 327 附件 32 附件1 TOMCAT配置SSL指導(dǎo) 32 附件2 WEB SERVICE 安全接入開發(fā)指導(dǎo) 32 附件3 客戶端IP鑒權(quán)實(shí)施指導(dǎo) 32 附件4 口令安全要求 32 附件5 WEB權(quán)限管理設(shè)計(jì)規(guī)格說(shuō)明書 34 Web應(yīng)用安全開發(fā)規(guī)范 1 概述 背景簡(jiǎn)介在Internet大眾化及Web技術(shù)飛速演變的今天，Web安全所面臨的挑戰(zhàn)日益嚴(yán)峻。 何偉祥00162822 增加了防止會(huì)話固定和防止跨站請(qǐng)求偽造的安全規(guī)范。C++語(yǔ)言安全編程規(guī)范》《Java語(yǔ)言安全編程規(guī)范》相關(guān)國(guó)際規(guī)范或文件一致性：無(wú)替代或作廢的其它規(guī)范或文件：無(wú)相關(guān)規(guī)范或文件的相互關(guān)系：《產(chǎn)品網(wǎng)絡(luò)安全紅線》和《電信軟件與核心網(wǎng)業(yè)務(wù)部安全能力基線》中的Web安全要求引用了本規(guī)范的內(nèi)容，如果存在沖突，以本規(guī)范為準(zhǔn)。DKBA華為技術(shù)有限公司內(nèi)部技術(shù)規(guī)范DKBA Web應(yīng)用安全開發(fā)規(guī)范 2013年XX月XX日發(fā)布 2013年XX月XX日實(shí)施華為技術(shù)有限公司Huawei Technologies Co., Ltd.版權(quán)所有 侵權(quán)必究All rights reserved 修訂聲明Revision declaration本規(guī)范擬制與解釋部門：網(wǎng)絡(luò)安全能力中心amp。電信軟件與核心網(wǎng)網(wǎng)絡(luò)安全工程部本規(guī)范的相關(guān)系列規(guī)范或文件：《Camp。規(guī)范號(hào) 主要起草部門專家 主要評(píng)審部門專家 修訂情況DKBA 安全解決方案：趙武42873，楊光磊57125，萬(wàn)振華55108軟件公司設(shè)計(jì)管理部：劉茂征11000，劉高峰63564，何偉祥33428 安全解決方案：劉海軍12014，吳宇翔18167，吳海翔57182接入網(wǎng)：彭東紅27279無(wú)線：胡濤46634核心網(wǎng)：吳桂彬 41508，甘嘉棟 33229，馬進(jìn) 32897，謝秀洪 33194，張毅 27651，張永鋒 40582業(yè)軟：包宜強(qiáng)56737，丁小龍63583，董鵬越60793，傅鑒杏36918，傅用成30333，龔連陽(yáng)18753，胡海60017320，胡海華52463，李誠(chéng)37517，李大鋒54630，李戰(zhàn)杰21615，劉創(chuàng)文65632，劉飛46266，劉劍51690，欒陽(yáng)62227，羅仁鈞65560，羅湘武06277，馬亮60009259，孟詠喜22499，潘海濤27360，孫林46580，王福40317，王錦亮36430，王美玲60011866，王謨磊65558，王玉龍24387，楊娟60019875，張鋒43381，張健60005645，張軼57143，鄒韜51591 何偉祥33428 劉高峰 63564，龔連陽(yáng) 00129383，許汝波 62966，吳宇翔 00120395，王歡 00104062，呂曉雨 56987 增加了Web Service、Ajax和上傳和下載相關(guān)的安全規(guī)范。 何偉祥00162822 增加了“”的實(shí)施指導(dǎo)；刪除了“”；修改了“6 配套CBB介紹”的內(nèi)容和獲取方式。黑客攻擊技術(shù)越來(lái)越成熟和大眾化，針對(duì)Web的攻擊和破壞不斷增長(zhǎng)，Web安全風(fēng)險(xiǎn)達(dá)到了前所未有的高度。這并非危言聳聽，類似的網(wǎng)上事故舉不勝舉，公司的Web產(chǎn)品也曾多次遭黑客攻擊，甚至有黑客利用公司W(wǎng)eb產(chǎn)品的漏洞敲詐運(yùn)營(yíng)商，造成極其惡劣的影響。本規(guī)范主要包括三大內(nèi)容：Web設(shè)計(jì)安全、Web編程安全、Web配置安全，配套CBB，多管齊下，實(shí)現(xiàn)Web應(yīng)用的整體安全性；本規(guī)范主要以JSP/Java編程語(yǔ)言為例。上圖各個(gè)區(qū)域中存在任何一點(diǎn)薄弱環(huán)節(jié)，都容易導(dǎo)致安全漏洞。為了防止一些惡意輸入，還要對(duì)輸入的數(shù)據(jù)和參數(shù)進(jìn)行校驗(yàn)。當(dāng)然還要考慮代碼安全，以及其他方面的威脅。針對(duì)這些潛在的問題，本規(guī)范中有相應(yīng)的解決措施。會(huì)話管理 通過(guò)捕獲導(dǎo)致會(huì)話劫持和會(huì)話偽造。配置管理 未授權(quán)訪問管理界面、更新配置數(shù)據(jù)、訪問用戶帳戶和帳戶配置文件。加密技術(shù) 未授權(quán)訪問機(jī)密數(shù)據(jù)或帳戶信息。輸入檢驗(yàn) 通過(guò)嵌入查詢字符串、窗體字段、Cookie 和 HTTP 標(biāo)頭中的惡意字符串所執(zhí)行的攻擊。參數(shù)操作 路徑遍歷攻擊、命令執(zhí)行、此外還有跳過(guò)訪問控制機(jī)制、導(dǎo)致信息泄露、權(quán)限提升和拒絕服務(wù)。 使用對(duì)象本規(guī)范的讀者及使用對(duì)象主要為Web相關(guān)的需求分析人員、設(shè)計(jì)人員、開發(fā)人員、測(cè)試人員等。對(duì)于嵌入式系統(tǒng)（如ADSL Modem、硬件防火墻）中的Web應(yīng)用，由于其特殊性（CPU、內(nèi)存、磁盤容量有限，沒有成熟的Web容器），不強(qiáng)制遵循本規(guī)范的所有內(nèi)容，只需遵循以下章節(jié)的規(guī)則要求： 用詞約定178。 建議：需要加以考慮的原則178。 實(shí)施指導(dǎo)：對(duì)此規(guī)則或建議的實(shí)施進(jìn)行相應(yīng)的指導(dǎo)2 常見Web安全漏洞Web應(yīng)用的安全漏洞有很多，無(wú)法窮舉。（OWASP即開放Web應(yīng)用安全項(xiàng)目，是一個(gè)旨在幫助人們理解和提高Web應(yīng)用及服務(wù)安全性的項(xiàng)目組織。這些攻擊發(fā)生在當(dāng)不可信的數(shù)據(jù)作為命令或者查詢語(yǔ)句的一部分，被發(fā)送給解釋器的時(shí)候。2 跨站腳本 當(dāng)應(yīng)用程序收到含有不可信的數(shù)據(jù)，在沒有進(jìn)行適當(dāng)?shù)尿?yàn)證和轉(zhuǎn)義的情況下，就將它發(fā)送給一個(gè)網(wǎng)頁(yè)瀏覽器，這就會(huì)產(chǎn)生跨站腳本攻擊（簡(jiǎn)稱XSS）。3 失效的身份認(rèn)證和會(huì)話管理 與身份認(rèn)證和會(huì)話管理相關(guān)的應(yīng)用程序功能往往得不到正確的實(shí)現(xiàn)，這就導(dǎo)致了攻擊者破壞密碼、密匙、會(huì)話令牌或攻擊其他的漏洞去冒充其他用戶的身份。在沒有訪問控制檢測(cè)或其他保護(hù)時(shí)，攻擊者會(huì)操控這些引用去訪問未授權(quán)數(shù)據(jù)。這就允許了攻擊者迫使用戶瀏覽器向存在漏洞的應(yīng)用程序發(fā)送請(qǐng)求，而這些請(qǐng)求會(huì)被應(yīng)用程序認(rèn)為是用戶的合法請(qǐng)求。由于許多設(shè)置的默認(rèn)值并不是安全的，因此，必須定義、實(shí)施和維護(hù)所有這些設(shè)置。7 失敗的URL訪問權(quán)限限制 許多Web應(yīng)用程序在顯示受保護(hù)的鏈接和按鈕之前會(huì)檢測(cè)URL訪問權(quán)限。8 未經(jīng)驗(yàn)證的重定向和前轉(zhuǎn) Web應(yīng)用程序經(jīng)常將用戶重定向和前轉(zhuǎn)到其他網(wǎng)頁(yè)和網(wǎng)站，并且利用不可信的數(shù)據(jù)去判定目的頁(yè)面。9 不安全的加密存儲(chǔ) 許多Web應(yīng)用程序并沒有使用恰當(dāng)?shù)募用艽胧┗騂ash算法保護(hù)敏感數(shù)據(jù)，比如信用卡、社會(huì)安全號(hào)碼（SSN）、認(rèn)證憑據(jù)等。10 傳輸層保護(hù)不足 應(yīng)用程序時(shí)常沒有身份認(rèn)證、加密措施，甚至沒有保護(hù)敏感網(wǎng)絡(luò)數(shù)據(jù)的保密性和完整性。3 Web設(shè)計(jì)安全規(guī)范 Web部署要求：如果 Web 應(yīng)用對(duì) Internet 開放，Web服務(wù)器應(yīng)當(dāng)置于DMZ區(qū)，在Web服務(wù)器與Internet之間，Web服務(wù)器與內(nèi)網(wǎng)之間應(yīng)當(dāng)有防火墻隔離，并設(shè)置合理的策略。說(shuō)明：Web服務(wù)器比較容易被攻擊，如果數(shù)據(jù)庫(kù)或核心應(yīng)用與Web服務(wù)器部署在同一臺(tái)主機(jī)，一旦Web服務(wù)器被攻陷，那么數(shù)據(jù)庫(kù)