Web应用安全配置基线.pdfVIP

  1. 1、本文档共17页,可阅读全部内容。
  2. 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
  5. 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
  6. 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
  7. 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
  8. 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
Web 应用安全配置基线 Opsec.cn 2009 年 1 月 第 1 页 共 17 页 版本 版本控制信息 更新日期 更新人 审批人 V 1.0 创建 2009 年 1 月 备注: 1. 若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。 第 2 页 共 17 页 目 录 第1 章 概述5 1.1 目的5 1.2 适用范围5 1.3 适用版本5 1.4 实施5 第2 章 身份与访问控制6 2.1 账户锁定策略6 2.2 登录用图片验证码6 2.3 口令传输6 2.4 保存登录功能7 2.5 纵向访问控制7 2.6 横向访问控制7 2.7 敏感资源的访问8 第3 章 会话管理9 3.1 会话超时9 3.2 会话终止9 3.3 会话标识9 3.4 会话标识复用 10 第4 章 代码质量 11 4.1 防范跨站脚本攻击 11 4.2 防范SQL 注入攻击 11 4.3 防止路径遍历攻击 11 4.4 防止命令注入攻击 12 4.5 防止其他常见的注入攻击 12 4.6 防止下载敏感资源文件 13 4.7 防止上传后门脚本 13 4.8 保证多线程安全 13 4.9 保证释放资源 14 第5 章 内容管理 15 5.1 加密存储敏感信息 15 5.2 避免泄露敏感技术细节 15 第6 章 防钓鱼与防垃圾邮件 16 6.1 防钓鱼 16 6.2 防垃圾邮件 16 第7 章 密码算法 17 7.1 安全算法 17 7.2 密钥管理 17 第 3 页 共 17 页 第 4 页 共 17 页 第1章概述 1.1 目的 本文档规定了所有IT 基础设施范围内所有Web 应用应当遵循的安全标准,本文档旨在 指导系统管理人员进行Web 应用安全基线检查。 1.2 适用范围 本配置标准的使用者包括:服务器系统管理员、应用程序管理员、网络安全管理员。 本配置标准适用的范围包括:支持所有业务正常运营的Web 应用系统。 1.3 适用版本 基于B/S 架构的Web 应用 1.4 实施 本标准的解释权和修改权属于Opsec.cn,在本标准的执行过程中若有任何疑问或建议, 应及时反馈。 第 5 页 共 17 页 第2章 身份与访问控制 2.1 账户锁定策略 安全基线项 Web 应用账户锁定策略安全基线要求项 目名称 安全基线编 编号 SBL-WebAPP-02-01-01 重要 号 安全基线项 用户登录失败一定次数后系统自动锁定账号一段时间,以防止暴力猜测密码。 说明 检测操作步 尝试使用错误用户名口令失败登录多次, 骤 基线符合性 用户登录失败一定次数后系统自动锁定账号。 判定依据 备注 2.2 登录用图片验证码 安全基线项 Web

文档评论(0)

max + 关注
实名认证
文档贡献者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档