Web应用安全基线.docVIP

WEB应用安全配置基线 第 PAGE 6 页 共 NUMPAGES 18 页 Web应用安全配置基线  版本 版本控制信息 更新日期 更新人 审批人 V1.0 创建 2009年1月 V2.0 更新 2012年4月 备注： 若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。 目 录 TOC \o 1-3 \h \z \u 第1章 概述 h 5 1.1 目的 h 5 1.2 适用范围 h 5 1.3 适用版本 h 5 1.4 实施 h 5 1.5 例外条款 h 5 第2章 身份与访问控制 h 6 2.1 账户锁定策略 h 6 2.2 登录用图片验证码 h 6 2.3 口令传输 h 6 2.4 保存登录功能 h 7 2.5 纵向访问控制 h 7 2.6 横向访问控制 h 7 2.7 敏感资源的访问 h 8 第3章 会话管理 h 9 3.1 会话超时 h 9 3.2 会话终止 h 9 3.3 会话标识 h 9 3.4 会话标识复用 h 10 第4章 代码质量 h 11 4.1 防范跨站脚本攻击 h 11 4.2 防范SQL注入攻击 h 11 4.3 防止路径遍历攻击 h 11 4.4 防止命令注入攻击 h 12 4.5 防止其他常见的注入攻击 h 12 4.6 防止下载敏感资源文件 h 13 4.7 防止上传后门脚本 h 13 4.8 保证多线程安全 h 13 4.9 保证释放资源 h 14 第5章 内容管理 h 15 5.1 加密存储敏感信息 h 15 5.2 避免泄露敏感技术细节 h 15 第6章 防钓鱼与防垃圾邮件 h 16 6.1 防钓鱼 h 16 6.2 防垃圾邮件 h 16 第7章 密码算法 h 17 7.1 安全算法 h 17 7.2 密钥管理 h 17 第8章 评审与修订 h 18  概述 目的 本文档旨在指导系统管理人员进行Web应用安全基线检查。 适用范围 本配置标准的使用者包括：服务器系统管理员、应用程序管理员、网络安全管理员。 适用版本 基于B/S架构的Web应用 实施 例外条款  身份与访问控制 账户锁定策略 安全基线项目名称 Web应用账户锁定策略安全基线要求项 安全基线编号 SBL-WebAPP-02-01-01 安全基线项说明 用户登录失败一定次数后系统自动锁定账号一段时间，以防止暴力猜测密码。 检测操作步骤 尝试使用错误用户名口令失败登录多次， 基线符合性判定依据 用户登录失败一定次数后系统自动锁定账号。 备注 登录用图片验证码 安全基线项目名称 Web应用登录验证策略安全基线要求项 安全基线编号 SBL-WebAPP-02-02-01 安全基线项说明 用户登录需提供图片验证码，以防止固定密码暴力猜测账号。 检测操作步骤 检查登录认证界面输入项，并右键点击图片查看链接属性。 基线符合性判定依据 要求包含图片验证码输入项，并且图片链接属性不得包含明文图片验证码。 备注 口令传输 安全基线项目名称 Web应用口令传输策略安全基线要求项 安全基线编号 SBL-WebAPP-02-03-01 安全基线项说明 不能明文传输用户登录密码。 检测操作步骤 尝试登录系统，并使用抓包工具查看交互过程中在网络传输的内容。 基线符合性判定依据 要求不得出现明文口令 备注 保存登录功能 安全基线项目名称 Web应用保存登录安全基线要求项 安全基线编号 SBL-WebAPP-02-04-01 安全基线项说明 不能提供“保存登录”功能，该功能可能被利用于CSRF攻击。 检测操作步骤 检查登录界面是否提供了保存登录功能 基线符合性判定依据 不得提供该功能。 备注 纵向访问控制 安全基线项目名称 Web应用纵向访问安全基线要求项 安全基线编号 SBL-WebAPP-02-05-01 安全基线项说明 合理进行纵向访问控制，不允许普通用户访问管理功能。 检测操作步骤 了解是否有不允许普通用户访问的功能，尝试直接在浏览器中访问功能链接。 基线符合性判定依据 用户不得跨权限访问受控页面 备注 横向访问控制 安全基线项目名称 Web应用横向访问安全基线要求项 安全基线编号 SBL-WebAPP-02-06-01 安全基线项说明 合理进行横向访问控制，不允许用户访问其他用户的敏感数据。 检测操作步骤 了解是否存在敏感信息，检查