WEB应用系统安全规范文档.docx

WEB 应用系统安全标准 目 录 概述 目的 为标准我司 Java Web 应用编码和部署的安全掌握和治理，特制定本标准，并作为安全检查及考核的参考依据。 适用范围 本标准适用于我司全部在线 Java 业务系统、测试系统的 WEB 应用。本标准可作为其他非 WEB 应用的编码和部署安全方法参考。 范围 本标准中列出的是常见安全措施和高风险的漏洞，在系统开发与系统部署的过程中，对本标准未能尽述的必要安全措施，仍应予以承受。 本标准每年复审一次，其它时候也可以依据需要进展修订并公布。 本标准的解释权和修改权归属信息技术部。 名词解释 验证：通讯实体(例如，客户端和效劳器)彼此验证，以经过访问授权的特定标识为依据。 资源的访问掌握：资源的交互仅限于某些用户或程序的集合，其目的是对完整性，保密性或可用性实施强制约束。 数据完整性：检验信息是否被第三方(非信息源的其它实体)修改。例如，处于开放网络环境中的数据接收方必需能够检测并丢弃那些在传递过程中被修改正的消息。 机密性或数据隐私：确保信息仅对经过访问授权的用户可用。 不行否认：对用户进展检验，让他无法否认自己进展过的活动。 捕获一个安全相关大事的防篡改记录，目的是评估安全策略和机制的有效性。 Web 开发安全标准 Web 应用程序体系构造和安全 是无国界的，这意味着跟踪每位用户的会话状态将成为应用程序的责任。应用程序必需能够通过某种形式的身份验证来识别用户。由于全部后续授权决策都要基于用户的标识，因此，身份验证过程必需是安全的，同样必需很好地保护用于跟踪已验证用户的会话处理机制。设计安全的身份验证和会话治理机制仅仅是Web 应用程序设计人员和开发人员所面临的众多问题中的两个方面。由于输入和输出数据要在公共网络上进展传输，因此还会存在其他挑战。防止参数操作和敏感数据泄漏也是另外一些重要问题。 漏洞类别由于设计不当而引起的潜在问题输入验证嵌入到查询字符串、表单字段、cookie 漏洞类别 由于设计不当而引起的潜在问题 输入验证 嵌入到查询字符串、表单字段、cookie 和 头中的恶意字符串的攻击。 这些攻击包括命令执行、跨站点脚本(XSS)、SQL 注入和缓冲区溢出攻击。 身份验证 标识哄骗、密码破解、特权提升和未经授权的访问。 授权 访问保密数据或受限数据、篡改数据以及执行未经授权的操作。 配置治理 配置治理 对治理界面进展未经授权的访问、具有更配置数据的力量以及对用户帐户和 帐户配置文件进展未经授权的访问。 敏感数据 泄露保密信息以及篡改数据。 会话治理 捕获会话标识符，从而导致会话劫持及标识哄骗。 加密 访问保密数据或帐户凭据，或二者均能访问。 参数操作 路径遍历攻击、命令执行以及绕过访问掌握机制，从而导致信息泄漏、特权提 升和拒绝效劳。 特别治理 拒绝效劳和敏感的系统级具体信息的泄漏。 审核和记录 不能觉察入侵迹象、不能验证用户操作，以及在诊断问题时消灭困难。 针对上述漏洞的应用程序设计指南如下表： 类别输入验证 标准指南 不要信任输入；应考虑集中式输入验证。 不要依靠于客户端验证。留意标准化问题。限制、拒绝和净化输入。验证类型、长度、格式和范围。 身份验证 将站点分割为匿名区域、标识区域和通过身份验证的区域。使用强密码。支持密码有效期和帐户禁用。不要存储凭据〔应使用带有 salt 的单向哈希〕。加密通信通道，以保护身份验证令牌。仅通过 S 连接传递表单身份验证cookie。 授权 配置治理 敏感数据 会话治理 加密 参数操作 使用最少特权帐户。考虑授权粒度。实施分别授权。限制用户访问系统级资源。 使用最少特权进程和效劳帐户。不要以纯文本形式存储凭据。在治理界面上使用强身份验证和授权。不要使用 LSA。远程治理时要确保通信通道的安全。避开在 Web 空间中存储敏感数据。 避开存储机密。对网络上传输的敏感数据进展加密。确保通信通道的安全。对敏感数据存储供给强访问掌握。不要在永久性 cookie 中存储敏感数据。不要使用 -GET 协议传递敏感数据。 限制会话寿命。确保通道的安全。对身份验证 cookie 的内容进展加密。保护会话状态，以防止未经授权的访问。 不要自创加密算法。使用牢靠并经过测试的平台功能。将未加密的数据存储在算法四周。使用正确的算法和密钥大小。避开密钥治理〔使用 DPAPI〕。定期回收密钥。在受限区域存储密钥。 对敏感的 cookie 状态加密。不要信任客户端可以操作的字段〔如查询字符串、 表单字段、 表单字段、cookie 或 头〕。验证从客户端发送的全部数据。 特别治理 使用构造化的特别处理机制。不要泄漏敏感的应用程序实施细节。不要记录保 密数据，如密码。考虑使用集中式的特别治理框架。 审核和记录