华为Web应用安全开发规范总结.docxVIP

华为Web应用安全开发规范总结 华为Web应用安全开发规范总结 PAGE / NUMPAGES 华为Web应用安全开发规范总结 DKBA 华为技术有限公司内部技术规范 Web应用安全开发规范 2013年XX月XX日公布2013年XX月XX日实行 华为技术有限公司 HuaweiTechnologiesCo.,Ltd. 版权全部侵权必究 Allrightsreserved 订正申明Revisiondeclaration 本规范拟制与解说部门： 网络安全能力中心电信软件与中心网网络安全工程部本规范的有关系列规范或文件： 《CC++语言安全编程规范》《Java语言安全编程规范》有关国际规范或文件一致性： 无 代替或作废的其余规范或文件： 无 有关规范或文件的互相关系： 《产品网络安全红线》和《电信软件与中心网业务部安全能力基线》中的Web安全要求引用了本规范的内容，假如存在矛盾，以本规范为准。 规范号 主要草拟部门专家 主要评审部门专家 订正状况 安全解决方案：赵武 42873，杨光磊57125，万振华55108 软件公司设计管理部：刘茂征 11000，刘顶峰63564，何伟祥33428安全解决方案： 刘海军12014，吴宇翔18167，吴海翔57182 接入网：彭东红 27279 无线：胡涛46634 中心网：吴桂彬41508，甘嘉栋33229，马进32897，谢秀洪33194，张毅27651，张永锋40582 何伟祥33428刘顶峰63564，龚连许汝波62966，吴宇王吕晓雨56987 增添了WebService、Ajax和上传和下载有关的安全规范。 何伟 增添了防备会话固定和防备跨站恳求假造的安全规范。 何伟 增添了“规则”的实行指导；删除了“建议”；改正了“6配套CBB介绍”的内容和获取方式。增添了“” 何伟吴淑魏建谢和李孙朱双陈增添“PHP” 增添“” 改正“” 删除“”和“” 附件文档作为对象直接插入主文档 目录TableofContents 1 概括 7 背景简介7 技术框架7 使用对象8 合用范围8 用词商定9 2 常有WEB安全破绽 9 3 WEB设计安全规范 10 WEB部署要求10 身份考证11 口令 11 认证 11 考证码 13 会话管理13 权限管理15 敏感数据保护 16 敏感数据定义 16 敏感数据储存 16 敏感数据传输 17 安全审计18 WEBSERVICE19 RESTFULWEBSERVICE20 DWR 21 4 WEB编程安全规范 22 输入校验22 输出编码25 上传下载26 异样办理26 代码说明26 归档要求27 其余 28 PHP 29 5 WEB安全配置规范 31 6 配套CBB介绍 31 WAFCBB31 考证码CBB 32 7 附件 32 附件1TOMCAT配置SSL指导32 附件2WEBSERVICE安全接入开发指导32 附件3 客户端IP鉴权实行指导 32 附件4 口令安全要求32 附件5WEB权限管理设计规格说明书 34 Web应用安全开发规范 概括 背景简介 在Internet一般化及Web技术飞快演变的今日，Web安全所面对的挑战日趋严重。黑客攻击技术愈来愈成熟和一般化，针对Web的攻击和损坏不停增添，Web安全风险达到了亘古未有的高度。 很多程序员不知道怎样开发安全的应用程序，开发出来的Web应用存在许多的安全破绽，这些安全破绽一旦被黑客利用将以致严重甚至是灾害性的结果。这并不是危言 耸听，近似的网上事故举不胜举，公司的Web产品也曾多次遭黑客攻击，甚至有黑客利用公司Web产品的破绽欺诈营运商，造成极其恶劣的影响。 本规范就是供给一套完美的、系统化的、适用的Web安全开发方法供Web研发人员使用，以期达到提高Web安全的目的。本规范主要包含三大内容：Web设计安全、Web编程安全、Web配置安全，配套CBB，多管齐下，实现Web应用的整体安全性；本规范主要以JSP/Java编程语言为例。 技术框架 图1典型的Web安全技术框架 图1显示了典型的Web安全的技术框架和安全技术点，这些安全技术点，贯串整个 Web设计开发过程。上图各个地区中存在任何一点单薄环节，都简单以致安全破绽。 因为HTTP的开放性，Web应用程序一定能够经过某种形式的身份考证来辨别用户， 并保证身份考证过程是安全的，相同一定很好地保护用于追踪已考证用