应用软件开发源代码安全指南.docVIP

编号：版号：0.9中国信达资产管理公司CHINA

编号：

版号：0.9

中国信达资产管理公司

CHINACINDAASSETMANAGEMENTCORPORATION

应用软件开发源代码平安指南

版本0.9

中国信达资产管理公司

中国信达资产管理公司,2007

本文件中包含的任何文字表达、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属中国信达资产管理公司所有。未经许可任何人不得将此文件中的任何局部以任何形式进行复制，储存和传播。

文档发布声明

文档发布声明

“应用软件开发源代码平安指南〞是中国信达资产管理公司ISO20000/27001体系文件的一局部。本文件自公布之日起在公司内部有效。本文档的使用和管理详见《质量管理体系文件管理规程》。

版本记录

版本号

版本日期

编写人

审核人

审批人:

说明

目录

TOC\o1-4\h\z\u1目标1

2范围1

3指南1

3.1应用开发弱点的原始清单1

3.2跨站脚本攻击(CrossSiteScripting-XSS)2

描述2

控制措施3

3.3注入缺陷4

描述4

SQL注入攻击4

控制措施5

3.4恶意文件执行7

描述7

控制措施8

3.5直接对象引用9

描述9

控制措施10

3.6跨站请求伪造〔CSRF〕10

描述10

CSRF攻击12

控制措施12

3.7错误处理不当12

描述12

控制措施13

3.8失效的账户和线程管理类的威胁14

描述14

控制措施15

密码存储15

保护传输凭证15

保护线程IDs15

保护帐号列表16

管理程序组件的信任关系16

3.9加密存储不平安16

描述16

确认存在加密存储不平安脆弱性17

控制措施17

3.10通信不平安17

描述17

控制措施18

3.11无法限制URL访问18

描述18

控制措施18

目标

本指南用于指导信达应用开发组在软件开发过程中，如何标准开发标准，防止常见平安漏洞，使应用系统更为健壮和平安。

范围

适用于信达应用开发组的软件开发活动。

指南

本指南引用了OWASP(OpeningWebApplicationSecurityProject)2007年Top10应用开发弱点清单，并列出相应的控制措施。

应用开发弱点的原始清单

应用系统弱点

描述

A1-CrossSiteScripting(XSS)

XSSflawsoccurwheneveranapplicationtakesusersupplieddataandsendsittoawebbrowserwithoutfirstvalidatingorencodingthatcontent.XSSallowsattackerstoexecutescriptinthevictimsbrowserwhichcanhijackusersessions,defacewebsites,possiblyintroduceworms,etc.

A2-InjectionFlaws

Injectionflaws,particularlySQLinjection,arecommoninwebapplications.Injectionoccurswhenuser-supplieddataissenttoaninterpreteraspartofacommandorquery.Theattacker?shostiledatatrickstheinterpreterintoexecutingunintendedcommandsorchangingdata.

A3-MaliciousFileExecutionCode

Codevulnerabletoremotefileinclusion(RFI)allowsattackerstoincludehostilecodeanddata,resultingindevastatingattacks,suchastotalservercompromise.MaliciousfileexecutionattacksaffectPHP,XMLandanyframeworkwhichacceptsfilenamesorfil