【正文】 和核心應(yīng)用也就被攻擊者掌控了。說明：Web站點(diǎn)根目錄安裝在非系統(tǒng)卷，如單獨(dú)創(chuàng)建一個(gè)目錄/home/Web作為Web站點(diǎn)根目錄，能夠防止攻擊者使用目錄遍歷攻擊訪問系統(tǒng)工具和可執(zhí)行文件。：如果Web應(yīng)用系統(tǒng)存在不同的訪問等級（如個(gè)人帳號使用、客戶服務(wù)、管理），那么應(yīng)該通過不同的Web服務(wù)器來處理來自不同訪問等級的請求，而且Web應(yīng)用應(yīng)該鑒別請求是否來自正確的Web服務(wù)器。：對于“客戶服務(wù)”和“管理”類的訪問，除了普通的認(rèn)證，還應(yīng)該增加額外的訪問限制。 身份驗(yàn)證 口令關(guān)于Web應(yīng)用及容器涉及到的口令，請遵循《產(chǎn)品網(wǎng)絡(luò)安全紅線》的口令安全要求（詳細(xì)內(nèi)容請見：附件4 ）。說明：不允許僅僅通過腳本或其他形式在客戶端進(jìn)行驗(yàn)證，必須在應(yīng)用服務(wù)器進(jìn)行最終認(rèn)證處理（如果采用集中認(rèn)證，那么對用戶的最終認(rèn)證就是放在集中認(rèn)證服務(wù)器進(jìn)行）。說明：使用驗(yàn)證碼的目的是為了阻止攻擊者使用自動(dòng)登錄工具連續(xù)嘗試登錄，從而降低被暴力破解的可能。驗(yàn)證碼在設(shè)計(jì)上必須要考慮到一些安全因素，以免能被輕易地破解。備注：對于嵌入式系統(tǒng)，如果實(shí)現(xiàn)驗(yàn)證碼比較困難，可以通過多次認(rèn)證失敗鎖定客戶端IP的方式來防止暴力破解。說明：如果驗(yàn)證碼和用戶名、密碼分開提交，攻擊者就可以繞過驗(yàn)證碼校驗(yàn)（如：先手工提交正確的驗(yàn)證碼，再通過程序暴力破解），驗(yàn)證碼就形同虛設(shè)，攻擊者依然可以暴力破解用戶名及口令。說明：可以存在多個(gè)登錄頁面，但是不允許存在多個(gè)可用于處理登錄認(rèn)證請求的模塊，防止不一致的認(rèn)證方式。：認(rèn)證處理模塊必須對提交的參數(shù)進(jìn)行合法性檢查。：認(rèn)證失敗后，不能提示給用戶詳細(xì)以及明確的錯(cuò)誤原因，只能給出一般性的提示。：最終用戶portal和管理portal分離。實(shí)施指導(dǎo)：將最終用戶portal和管理portal分別部署在?煌?奈錮矸?務(wù)器；如果為了解決成本合設(shè)（部署在同一臺(tái)物理服務(wù)器上），那么，必須做到端口分離（通過不同的端口提供Web服務(wù)），一般的Web容器（如tomcat）支持為不同的Web應(yīng)用創(chuàng)建不同的端口。：對于重要的管理事務(wù)或重要的交易事務(wù)要進(jìn)行重新認(rèn)證，以防范會(huì)話劫持和跨站請求偽造給用戶帶來損失。重新認(rèn)證，比如讓用戶重新輸入口令。實(shí)施指導(dǎo)：場景一：對于從HTTP轉(zhuǎn)到HTTPS再轉(zhuǎn)到HTTP（也就是僅在認(rèn)證過程采用HTTPS，認(rèn)證成功后又轉(zhuǎn)到HTTP）的，在用戶名和密碼認(rèn)證通過后增加以下行代碼： ().invalidate()。 Cookie cookie = new Cookie(JSESSIONID,())。 (false)。 (cookie)。 (true)。說明：如雙因素認(rèn)證、SSL雙向證書認(rèn)證、生物認(rèn)證等；還可以通過應(yīng)用程序限制只允許某些特定的IP地址訪問管理頁面，并且這些特定的IP地址可配置。說明：登錄失敗應(yīng)該提示用戶：如果重試多少次不成功系統(tǒng)將會(huì)鎖定。允許連續(xù)失敗的次數(shù)（指從最后一次成功以來失敗次數(shù)的累計(jì)值）可配置，取值范圍為：099 次，0表示不執(zhí)行鎖定策略，建議默認(rèn)：5 次。建議優(yōu)先使用帳號鎖定策略。特別說明：鎖客戶端IP策略存在缺陷，當(dāng)用戶使用proxy上網(wǎng)時(shí)，那么鎖定客戶端IP會(huì)導(dǎo)致使用該proxy上網(wǎng)的所有用戶在IP鎖定期間都不能使用該Web應(yīng)用；鎖定用戶帳戶的策略也存在缺陷，當(dāng)攻擊者不斷嘗試某帳戶的口令，就給該帳戶帶來拒絕服務(wù)攻擊，使該帳戶不可用。說明：驗(yàn)證碼不能使用文本格式，不允許多圖片組合（如用四個(gè)圖片拼成的驗(yàn)證碼）。說明：在使用驗(yàn)證碼生成模塊時(shí)不允許接收來自客戶端的任何參數(shù)，例如：?code=1234的URL請求，將1234作為驗(yàn)證碼隨機(jī)數(shù)。說明：在客戶端網(wǎng)頁上點(diǎn)擊鼠標(biāo)右鍵、選擇“查看源文件”時(shí)，必須看不到驗(yàn)證碼模塊生成的隨機(jī)數(shù)。說明：對于java語言可以使用類 。：驗(yàn)證碼在一次使用后要求立即失效，新的請求需要重新生成驗(yàn)證碼。說明：以上規(guī)則可以通過使用電信軟件與核心網(wǎng)網(wǎng)絡(luò)安??こ灘刻峁┑?驗(yàn)證碼CBB來實(shí)現(xiàn)。說明：目前主流的Web容器通過以下幾種方式維持會(huì)話：隱藏域、URL重寫、持久性cookie、會(huì)話cookie，但通過隱藏域、URL重寫或持久性cookie方式維持的會(huì)話容易被竊取，所以要求使用會(huì)話cookie維持會(huì)話。（cookie有兩種：會(huì)話cookie和持久性cookie；會(huì)話cookie，也就是非持久性cookie，不設(shè)置過期時(shí)間，其生命期為瀏覽器會(huì)話期間，只要關(guān)閉瀏覽器窗口，cookie就消失了；會(huì)話cookie一般不存儲(chǔ)在硬盤上而是保存在內(nèi)存里。）備注：對于嵌入式系統(tǒng)的Web，不適合本條規(guī)則，按“”實(shí)施。說明：會(huì)話過程中不允許修改的信息，例如，當(dāng)用戶通過認(rèn)證后，其用戶標(biāo)識(shí)在整個(gè)會(huì)話過程中不能被篡改。對JSP語言，就是應(yīng)該通過session對象進(jìn)行存儲(chǔ)和維護(hù)。說明： 非法會(huì)話的概念就是通過一系列的服務(wù)端合法性檢測（包括訪問未授權(quán)資源，缺少必要參數(shù)等情況），最終發(fā)現(xiàn)的不是正常請求產(chǎn)生的會(huì)話。說明：防止會(huì)話信息被篡改，如惡意用戶通過URL篡改手機(jī)號碼等。說明：防止遺留在內(nèi)存中的會(huì)話信息被竊取，減少內(nèi)存占用。：必須設(shè)置會(huì)話超時(shí)機(jī)制，在超時(shí)過后必須要清除該會(huì)話信息。如果沒有特殊需求，禁止使用自動(dòng)發(fā)起請求的機(jī)制來阻止session超時(shí)。說明：客戶端流程控制很容易被旁路（繞過），因此流程控制必須在服務(wù)器端實(shí)現(xiàn)。：所有登錄后才能訪問的頁面都必須有明顯的“注銷（或退出）”的按鈕或菜單，如果該按鈕或菜單被點(diǎn)擊，則必須使對應(yīng)的會(huì)話立即失效。：如果產(chǎn)品（如嵌入式系統(tǒng)）無法使用通用的Web容器，只能自己實(shí)現(xiàn)Web服務(wù)，那么必須自己實(shí)現(xiàn)會(huì)話管理，并滿足以下要求：? 采用會(huì)話cookie維持會(huì)話。? 服務(wù)端必須對客戶端提交的session ID的有效性進(jìn)行校驗(yàn)。另外，為了節(jié)省內(nèi)存，嵌入式webserver進(jìn)程往往是動(dòng)態(tài)啟動(dòng)，為了使session更快的超時(shí)，建議增加心跳機(jī)制，對客戶端瀏覽器是否關(guān)閉進(jìn)行探測，5s一個(gè)心跳，30s沒有心跳則session超時(shí)，關(guān)閉該session。說明：防止用戶通過直接輸入U(xiǎn)RL，越權(quán)請求并執(zhí)行一些頁面或servlet；建議通過過濾器實(shí)現(xiàn)。：授權(quán)和用戶角色數(shù)據(jù)必須存放在服務(wù)器端，不能存放在客戶端，鑒權(quán)處理也必須在服務(wù)器端完成。：一個(gè)帳號只能擁有必需的角色和必需的權(quán)限。一個(gè)角色只能擁有必需的權(quán)限。）這樣即使帳號被攻擊者盜取，也能把安全損失控制在最小的限度。：對于應(yīng)用程序連接數(shù)據(jù)庫服務(wù)器的數(shù)據(jù)庫帳號，在滿足業(yè)務(wù)需求的前提下，必須使用最低級別權(quán)限的數(shù)據(jù)庫帳號。不能使用“sa”、“sysman”等管理帳號或高級別權(quán)限帳號。 敏感數(shù)據(jù)存儲(chǔ)：禁止在代碼中存儲(chǔ)敏感數(shù)據(jù)。用于加密密鑰的密鑰可以硬編碼在代碼中。說明：密鑰或帳號的口令必須經(jīng)過加密存儲(chǔ)。：禁止在 cookie 中以明文形式存儲(chǔ)敏感數(shù)據(jù)。：禁止在隱藏域中存放明文形式的敏感數(shù)據(jù)。實(shí)施指導(dǎo)：場景 1：后臺(tái)服務(wù)端保存數(shù)據(jù)庫的登錄口令后臺(tái)服務(wù)器登錄數(shù)據(jù)庫需要使用登錄數(shù)據(jù)庫的明文口令，此時(shí)后臺(tái)服務(wù)器加密保存該口令后，下次登錄時(shí)需要還原成明文，因此，在這種情況下，不可用不可逆的加密算法，而需要使用對稱加密算法或者非對稱加密算法，一般也不建議采用非對稱加密算法。場景 2：后臺(tái)服務(wù)端保存用戶的登錄口令在該場景下，一般情況是：客戶端提交用戶名及用戶口令，后臺(tái)服務(wù)端對用戶名及用戶口令進(jìn)行驗(yàn)證，然后返回驗(yàn)證的結(jié)果。推薦的不可逆加密算法： SHA25SHA38SHA512，HMACSHA25HMACSHA38HMACSHA512。說明：禁止在日志中記錄明文的敏感數(shù)據(jù)（如口令、會(huì)話標(biāo)識(shí)jsessionid等）， 防止敏感信息泄漏。說明：帶有敏感數(shù)據(jù)的Web頁面都應(yīng)該禁止緩存，以防止敏感信息泄漏或通過代理服務(wù)器上網(wǎng)的用戶數(shù)據(jù)互竄問題。 (Pragma,nocache)。 %注意：以上代碼對于采用強(qiáng)制緩存策略的代理服務(wù)器不生效（代理服務(wù)器默認(rèn)是不緩存的），要防止代理服務(wù)器緩存頁面，可以在鏈接后加入一個(gè)隨機(jī)數(shù)pageid,此時(shí)鏈接變成：://localhost:8080/?a=2amp。 敏感數(shù)據(jù)傳輸：帶有敏感數(shù)據(jù)的表單必須使用 HTTPPOST 方法提交。如果是使用servlet處理提交的表單數(shù)據(jù)，那么不在doGet方法中處理，只在doPost方法處理。說明：如果在客戶端和服務(wù)器間傳遞如帳號、口令等明文的敏感數(shù)據(jù)，必須使用帶服務(wù)器端證書的SSL。實(shí)施指導(dǎo)：1. SSL的配置請參考《附件1 Tomcat配置SSL指導(dǎo)》。解決的辦法就是用過程代替過程，保證會(huì)話的連續(xù)性。而這個(gè)過程，session始終不變，因此，可以保持會(huì)話連???：禁止在URL中攜帶會(huì)話標(biāo)識(shí)（如jsessionid）。：禁止將對用戶保密的信息傳送到客戶端。 安全審計(jì)本節(jié)的安全審計(jì)是針對Web業(yè)務(wù)應(yīng)用，不包括對操作系統(tǒng)、Web容器的安全審計(jì)。：應(yīng)用服務(wù)器必須對安全事件及操作事件進(jìn)行日志記錄。：安全日志必須包括但不限于如下內(nèi)容：事件發(fā)生的時(shí)間、事件類型、客戶端IP、客戶端機(jī)器名、當(dāng)前用戶的標(biāo)識(shí)、受影響的個(gè)體（數(shù)據(jù)、資源）、成功或失敗標(biāo)識(shí)、啟動(dòng)該事件的進(jìn)程標(biāo)識(shí)以及對該事件的詳細(xì)描述。說明：只有Web應(yīng)用程序的管理員才能查詢數(shù)據(jù)庫表形式或文件形式的安全日志；除數(shù)據(jù)庫超級管理員外，只有應(yīng)用程序連接數(shù)據(jù)庫的帳號可以查詢（select）及插入（insert）安全日志表；除操作系統(tǒng)超級管理員外，只有應(yīng)用程序的運(yùn)行帳戶才能讀、寫文件形式的安全日志（但不允許刪除）。：對日志模塊占用資源必須有相應(yīng)的限制機(jī)制。：禁止日志文件和操作系統(tǒng)存儲(chǔ)在同一個(gè)分區(qū)中，同時(shí)，應(yīng)使用轉(zhuǎn)儲(chǔ)、滾動(dòng)、輪循機(jī)制，來防止存儲(chǔ)日志的分區(qū)寫滿。：安全日志應(yīng)該有備份及清理機(jī)制。可以配置定期備份及清理的時(shí)間，可以配置以用于存放安全日志的磁盤空間使用率達(dá)到多少時(shí)進(jìn)行備份及清理。說明：在生成安全日志時(shí)，即時(shí)將日志保存到網(wǎng)絡(luò)上其他主機(jī)，而且生成安全日志的應(yīng)用程序不能再訪問存放在其他主機(jī)的日志。說明：認(rèn)證就是確定誰在調(diào)用Web Service，并且證實(shí)調(diào)用者身份。：如果調(diào)用者的權(quán)限各不相同，那么必須對Web Service接口的調(diào)用進(jìn)行鑒權(quán)。實(shí)施指導(dǎo)：可以通過Axis的handler對調(diào)用進(jìn)行鑒權(quán)。實(shí)施指導(dǎo)：方案1：請參考《附件2 Web Service 安全接入開發(fā)指導(dǎo)》。：通過Web Service接口傳遞重要的交易數(shù)據(jù)時(shí)，必須保障其完整性和不可抵賴性。實(shí)施指導(dǎo)：請參考《附件2 Web Service 安全接入開發(fā)指導(dǎo)》。實(shí)施指導(dǎo)：請參考《附件3客戶端IP鑒權(quán)實(shí)施指導(dǎo)》。說明：日志內(nèi)容包括但不限于如下內(nèi)容：調(diào)用時(shí)間、操作類型、調(diào)用接口名稱、詳細(xì)的接口參數(shù)、客戶端IP、客戶端機(jī)器名、調(diào)用者的用戶標(biāo)識(shí)、受影響的個(gè)體（數(shù)據(jù)、資源）、成功或失敗標(biāo)識(shí)。說明：。：對RESTful Web Service的調(diào)用必須進(jìn)行認(rèn)證。實(shí)施指導(dǎo)：客戶端發(fā)起的Restful請求需要在消息頭帶Authorization字段，內(nèi)容填Basic Base64(user:pass)，服務(wù)端對user和passwd進(jìn)行認(rèn)證。對于安全性要求不高、只向同一信任域內(nèi)其他主機(jī)開放的Web Service接口，可以通過簡單的IP認(rèn)證來實(shí)現(xiàn)接口的認(rèn)證（只有服務(wù)器端指定IP地址的客戶端才允許調(diào)用，IP地址可配置）。說明：鑒權(quán)就是判斷調(diào)用者是否有權(quán)限調(diào)用該RESTful Web Service。實(shí)施指導(dǎo)：采用安全協(xié)議。實(shí)施指導(dǎo)：請參考《附件3客戶端IP鑒權(quán)實(shí)施指導(dǎo)》。說明：日志內(nèi)容包括但不限于如下內(nèi)容：調(diào)用時(shí)間、操作類型、調(diào)用接口名稱、詳細(xì)的接口參數(shù)、客戶端IP、客戶端機(jī)器名、調(diào)用者的用戶標(biāo)識(shí)、受影響的個(gè)體（數(shù)據(jù)、資源）、成功或失敗標(biāo)識(shí)。說明：。：關(guān)閉DWR 調(diào)試功能。實(shí)施指導(dǎo)：：servlet servletnamedwrinvoker/servletname servletclass/servletclass initparam paramnamedebug/paramname p