Web应用安全基线介绍.docxVIP

第  PAGE 15 页 共  NUMPAGES 15 页 BMB标准网站安全开发建议 版本版本控制信息更新日期更新人审批人备注： 若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。 目 录  TOC \o 1-3 \h \z \u  HYPERLINK \l _Toc262219975 第1章 概述  PAGEREF _Toc262219975 \h 4  HYPERLINK \l _Toc262219976 1.1 目的  PAGEREF _Toc262219976 \h 4  HYPERLINK \l _Toc262219977 1.2 适用版本  PAGEREF _Toc262219977 \h 4  HYPERLINK \l _Toc262219978 第2章 身份与访问控制  PAGEREF _Toc262219978 \h 4  HYPERLINK \l _Toc262219979 2.1 账户锁定策略  PAGEREF _Toc262219979 \h 4  HYPERLINK \l _Toc262219980 2.2 登录用图片验证码  PAGEREF _Toc262219980 \h 4  HYPERLINK \l _Toc262219981 2.3 口令传输  PAGEREF _Toc262219981 \h 5  HYPERLINK \l _Toc262219982 2.4 保存登录功能  PAGEREF _Toc262219982 \h 5  HYPERLINK \l _Toc262219983 2.5 纵向访问控制  PAGEREF _Toc262219983 \h 5  HYPERLINK \l _Toc262219984 2.6 横向访问控制  PAGEREF _Toc262219984 \h 6  HYPERLINK \l _Toc262219985 2.7 敏感资源的访问  PAGEREF _Toc262219985 \h 6  HYPERLINK \l _Toc262219986 第3章 会话管理  PAGEREF _Toc262219986 \h 7  HYPERLINK \l _Toc262219987 3.1 会话超时  PAGEREF _Toc262219987 \h 7  HYPERLINK \l _Toc262219988 3.2 会话终止  PAGEREF _Toc262219988 \h 7  HYPERLINK \l _Toc262219989 3.3 会话标识  PAGEREF _Toc262219989 \h 7  HYPERLINK \l _Toc262219990 3.4 会话标识复用  PAGEREF _Toc262219990 \h 8  HYPERLINK \l _Toc262219991 第4章 代码质量  PAGEREF _Toc262219991 \h 9  HYPERLINK \l _Toc262219992 4.1 防范跨站脚本攻击  PAGEREF _Toc262219992 \h 9  HYPERLINK \l _Toc262219993 4.2 防范SQL注入攻击  PAGEREF _Toc262219993 \h 9  HYPERLINK \l _Toc262219994 4.3 防止路径遍历攻击  PAGEREF _Toc262219994 \h 9  HYPERLINK \l _Toc262219995 4.4 防止命令注入攻击  PAGEREF _Toc262219995 \h 10  HYPERLINK \l _Toc262219996 4.5 防止其他常见的注入攻击  PAGEREF _Toc262219996 \h 10  HYPERLINK \l _Toc262219997 4.6 防止下载敏感资源文件  PAGEREF _Toc262219997 \h 11  HYPERLINK \l _Toc262219998 4.7 防止上传后门脚本  PAGEREF _Toc262219998 \h 11  HYPERLINK \l _Toc262219999 4.8 保证多线程安全  PAGEREF _Toc262219999 \h