没有合适的资源?快使用搜索试试~ 我知道了~
WEB应用系统安全规范文档.doc
1.该资源内容由用户上传,如若侵权请联系客服进行举报
2.虚拟产品一经售出概不退款(资源遇到问题,请及时私信上传者)
2.虚拟产品一经售出概不退款(资源遇到问题,请及时私信上传者)
版权申诉
0 下载量 78 浏览量
2021-10-12
10:19:27
上传
评论
收藏 237KB DOC 举报
温馨提示
试读
15页
WEB应用系统安全规范文档.doc
资源推荐
资源详情
资源评论
. . . . .
WEB 应用系统安全规
目 录
1.1 目的 2
1.2 适用围 2
1.3 WEB 应用程序体系结构和安全 3
1.4 WEB 安全编码规 5
1.4.1 区分公共区域和受限区域....................................................................................................................5
1.4.2 对身份验证 cookie 的容进展加密........................................................................................................5
1.4.3 限制会话寿命........................................................................................................................................ 5
1.4.4 使用 SSL 保护会话身份验证 Cookie...................................................................................................5
1.4.5 确保用户没有绕过检查........................................................................................................................5
1.4.6 验证从客户端发送的所有数据............................................................................................................6
1.4.7 不要向客户端泄漏信息........................................................................................................................6
1.4.8 记录详细的错误信息............................................................................................................................6
1.4.9 捕捉异常................................................................................................................................................ 6
1.4.10 不要信任 HTTP 头信息......................................................................................................................6
1.4.11 不要使用 HTTP-GET 协议传递敏感数据..........................................................................................6
1.4.12 不要在永久性 cookie 中存储敏感数据..............................................................................................7
1.4.13 对数据进展加密或确保通信通道的安全...........................................................................................7
1.4.14 SQL 语句的参数应以变量形式传入..................................................................................................7
1.4.15 页面中的非源代码容应经过 URI 编码..............................................................................................7
1.4.16 页面中拼装的脚本应校验元素来源的合法性...................................................................................7
1.4.17 页面请求处理应校验参数的最大长度...............................................................................................8
1.4.18 登录失败信息错误提示应一致..........................................................................................................8
1.4.19 防止页面上传任意扩展名的文件......................................................................................................8
1.4.20 防止承受页面中的主机磁盘路径信息...............................................................................................8
1.4.21 第三方产品的合法性..........................................................................................................................8
1.5 部署架构和安全 8
1.5.1 网络根底结构组件................................................................................................................................9
1.5.2 部署拓扑结构...................................................................................................................................... 10
1.6 部署操作安全规 10
1.6.1 确保管理界面的安全..........................................................................................................................10
1.6.2 确保配置存储的安全..........................................................................................................................10
1.6.3 单独分配管理特权..............................................................................................................................10
1.6.4 使用最少特权进程和服务..................................................................................................................11
1.6.5 尽量防止存储......................................................................................................................................11
1.6.6 不要在代码中存储..............................................................................................................................11
1.6.7 不要以纯文本形式存储数据库连接、密码或密钥...........................................................................11
1.6.8 限制主机上 WEB 系统启动用户的权限............................................................................................11
1.6.9 隐藏后台调试信息..............................................................................................................................11
1 / 15
. . . . .
1.6.10 密码加密存储....................................................................................................................................11
1.6.11 隐藏重要配置参数信息....................................................................................................................12
1.6.12 隐藏日志文件.................................................................................................................................... 12
1.6.13 禁用 WebDAV,或者禁止不需要的 HTTP 方法............................................................................12
1.6.14 保证管理平台、测试账号口令强度.................................................................................................12
1.6.15 定期核查文件上传路径、日志路径中是否存在木马.....................................................................12
1.6.16 与时删除应用系统临时文件............................................................................................................12
1.6.17 重要系统隔离.................................................................................................................................... 12
1.7 审核并记录跨应用层的访问 13
1.8 考虑标识流 13
1.9 记录关键事件 13
1.10 确保日志文件的安全 13
1.11 定期备份和分析日志文件 14
概述
1.1 目的
为规我司 Java Web 应用编码和部署的安全控制和管理,特制定本规,并作为安全检查
与考核的参考依据。
1.2 适用围
本规适用于我司所有在线 Java 业务系统、测试系统的 WEB 应用。
本规可作为其他非 WEB 应用的编码和部署安全方法参考。
围
本规中列出的是常见安全措施和高风险的漏洞,在系统开发与系统部署的过程中,对
本规未能尽述的必要安全措施,仍应予以采用。
本规每年复审一次,其它时候也可以根据需要进展修订并发布。 本规的解释权和修改
权归属信息技术部。
名词解释
验证:通讯实体(例如,客户端和服务器)彼此验证,以经过访问授权的特定标识为依
据。
资源的访问控制:资源的交互仅限于某些用户或程序的集合,其目的是对完整性,性
或可用性实施强制约束。
数据完整性:检验信息是否被第三方(非信息源的其它实体)修改。例如,处于开放网
络环境中的数据接收方必须能够检测并丢弃那些在传递过程中被修改正的消息。
性或数据隐私:确保信息仅对经过访问授权的用户可用。
2 / 15
. . . . .
不可否认:对用户进展检验,让他无法否认自己进展过的活动。
捕获一个安全相关事件的防篡改记录,目的是评估安全策略和机制的有效性。
Web 开发安全规
1.3 Web 应用程序体系结构和安全
HTTP 是无国界的,这意味着跟踪每位用户的会话状态将成为应用程序的责任。应用
程序必须能够通过某种形式的身份验证来识别用户。由于所有后续授权决策都要基于用户
的标识,因此,身份验证过程必须是安全的,同样必须很好地保护用于跟踪已验证用户的
会话处理机制。设计安全的身份验证和会话管理机制仅仅是 Web 应用程序设计人员和开发
人员所面临的众多问题中的两个方面。由于输入和输出数据要在公共网络上进展传输,因
此还会存在其他挑战。防止参数操作和敏感数据泄漏也是另外一些重要问题。
Web 应用程序安全设计是根据应用程序漏洞类别进展组织的。实际经验说明,如果这
些领域的设计存在薄弱环节,将会导致安全漏洞。下表列出了漏洞的类别,每个类别都突
出显示了由于设计不当可能会导致的潜在问题。
漏洞类别 由于设计不当而引起的潜在问题
输入验证 嵌入到查询字符串、表单字段、cookie 和 HTTP 头中的恶意字符串的攻击。
这些攻击包括命令执行、跨站点脚本(XSS)、SQL 注入和缓冲区溢出攻击。
身份验证 标识欺骗、密码破解、特权提升和未经授权的访问。
授权 访问数据或受限数据、篡改数据以与执行未经授权的操作。
配置管理 对管理界面进展未经授权的访问、具有更新配置数据的能力以与对用户和配
3 / 15
剩余14页未读,继续阅读
资源评论
yunxidzh
- 粉丝: 59
- 资源: 30万+
下载权益
C知道特权
VIP文章
课程特权
开通VIP
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功