通用安全编码规范标准[详].docVIP

Word格式 完美整理 天翼电子商务有限公司 信息技术部 【】通用安全编码规范 文档编号：BESTPAY-DMAQ-05 Version1.0 保密申明本文档版权由 保密申明 本文档版权由天翼电子商务有限公司信息技术部所有。未经天翼电子商务有限公司信息技术部书面许可，任何单位和个人不得以任何形式摘抄、复制本文档的部分或全部，并以任何形式传播 目 录 TOC \o 1-3 \h \z \u 1 目的 4 2 范围 4 3 规范概述 4 4 安全编码的原则 5 5 Web应用程序常见安全问题 5 5.1 跨站脚本攻击 6 5.1.1 定义 6 5.1.2 危害 6 5.1.3 解决方法 7 5.2 SQL注入 9 5.2.1 定义 9 5.2.2 危害 10 5.2.3 解决方法 10 5.3 恶意脚本执行 11 5.3.1 定义 11 5.3.2 危害 12 5.3.3 解决方法 12 5.4 文件上传漏洞 12 5.4.1 定义 12 5.4.2 危害 12 5.4.3 解决方案 12 5.5 传输敏感信息未使用安全通道 13 5.5.1 定义 13 5.5.2 危害 13 5.5.3 解决方案 13 5.6 信息泄漏和错误处理不当 13 5.6.1 定义 13 5.6.2 危害 14 5.6.3 解决方案 14 5.7 跨站请求伪造 15 5.7.1 定义 15 5.7.2 危害 15 5.7.3 代码示例 15 5.7.4 解决方案 16 5.8 访问控制缺陷 17 5.8.1 权限提升 17 5.8.2 不安全的直接对象引用 18 5.9 不安全的加密 20 5.9.1 定义 20 5.9.2 弱加密示例 21 5.9.3 解决方案 21 5.10 限制URL访问失效 21 5.10.1 定义 21 5.10.2 解决方案 22 5.11 Session管理 22 5.11.1 Cookie http only flag 22 5.11.2 Cookie Secure flag 23 5.11.3 Session Expires 25 5.12 日志和监测 26 6 Web应用程序安全编码要点 26 6.1 SOCKET网络安全编程要求 26 6.2 安全认证要求 27 6.2.1 图片验证码 27 6.2.2 短信验证码 28 6.3 加密方法及强度要求 29 6.4 输入验证 31 6.4.1 什么是输入 31 6.4.2 如何处理输入 37 6.5 输出编码 42 6.5.1 输出编码的种类 42 6.5.2 输出编码的必要性 42 6.5.3 安全输出编码方式 42 7 翼支付常用Web框架安全 44 7.1 Struts2：Action字段没有验证器（Action Filed Without Validator） 44 7.1.1 定义 44 7.1.2 危害 44 7.2 Struts2：有重复的Action字段验证器（Duplicate Action Field Validators） 45 7.2.1 定义 45 7.2.2 危害 45 7.2.3 示例 45 7.3 Struts2：重复的验证文件（Duplicate Validation Files） 45 7.3.1 定义 45 7.3.2 危害 46 7.4 Struts2：重复的验证器（Duplicate Validators） 46 7.4.1 定义 46 7.4.2 危害 46 7.5 Struts2：未声明验证器（Undeclared Validator） 46 7.5.1 定义 46 7.5.2 危害 47 7.5.3 示例 47 7.6 Struts2：未经验证的Action（Unvalidate Action） 47 7.6.1 定义 47 7.6.2 危害 47 7.7 Struts2：验证文件无对应的Action（Validation File Without Action） 47 7.7.1 定义 47 7.8 Struts2：验证器无Action 域（Validator Without