WEB安全开发规范.docxVIP

密级：保密

WEB平安开发标准

〔V1.0〕

文档编号：

文档名称：

WEB平安开发标准

编写：

审核：

批准：

批准日期：

技术研究部

文档修订记录

编号

版本号

修订内容简述

修订日期

作者

审核

1

V1.0

初稿

2012-7

6

7

8

9

10

11

12

13

14

15

16

TOC\o1-6\h\z\u

1 环境说明 1

2 WEB平安漏洞清单 1

3 RatiaonlAppscan操作说明 1

4 WEB平安漏洞修复策略 2

5 禁止省公司网段扫描 2

6 WEB平安开发标准 3

6.1 总体平安要求 3

6.2 PUT方法站点篡改 3

平安风险 3

解决方案 3

实施方案 3

验证方法 4

6.3 会话标识未更新 5

平安风险 5

解决方案 5

实施方案 6

验证方法 10

6.4 不充分账户封锁 10

平安风险 10

解决方案 10

实施方案 10

验证方法 10

6.5 登录错误消息凭证枚举 10

平安风险 10

解决方案 10

实施方案 11

验证方法 11

6.6 发现数据库错误模式 11

平安风险 11

解决方案 11

实施方案 11

验证方法 11

6.7 链接注入〔便于跨站请求伪造〕 11

平安风险 11

解决方案 11

实施方案 11

验证方法 11

6.8 通过框架钓鱼 11

平安风险 11

解决方案 12

实施方案 12

验证方法 12

6.9 主机允许从任何域进行flash访问 12

平安风险 12

解决方案 12

实施方案 12

验证方法 12

6.10 注销后会话未失效 12

平安风险 12

解决方案 12

实施方案 12

验证方法 12

6.11 SQL注入 13

平安风险 13

解决方案 13

实施方案 13

验证方法 13

6.12 使用SQL注入的认证旁路 13

平安风险 13

解决方案 13

实施方案 13

验证方法 13

6.13 跨站点脚本编制 13

平安风险 13

解决方案 13

实施方案 13

验证方法 13

6.14 已解密的登录请求 14

平安风险 14

解决方案 14

实施方案 14

验证方法 14

6.15 启用了不平安的方法 14

6.16 HTML注释敏感信息泄露 14

平安风险 14

解决方案 14

实施方案 14

验证方法 14

6.17 发现电子邮件地址模式 14

平安风险 14

解决方案 14

实施方案 15

验证方法 15

6.18 发现内部IP泄露模式 15

平安风险 15

解决方案 15

实施方案 15

验证方法 15

6.19 检测到文件替代版本 15

平安风险 15

解决方案 15

实施方案 15

验证方法 15

6.20 客户端〔JavaScript〕Cookie引用 16

平安风险 16

解决方案 16

实施方案 16

验证方法 16

6.21 临时文件下载 16

平安风险 16

解决方案 16

实施方案 16

验证方法 16

6.22 潜在文件上载 16

平安风险 16

解决方案 16

实施方案 16

验证方法 17

6.23 应用程序错误 17

平安风险 17

解决方案 17

实施方案 17

验证方法 17

6.24 主机应用软件漏洞修复 17

环境说明

Eclipse:3.6以上版本

ApacheTomat以上版本

Mysql以上版本

平安漏洞扫描工具：IBMRational

注意：appscan记录登录序列时，无法记录，可在hosts文件中，自定义了一个域名:mytest,然后再记录登录序列