Web应用安全基线.docVIP

Web应用平安配置基线

版本

版本控制信息

更新日期

更新人

审批人

V1.0

创立

2009年1月

V2.0

更新

2012年4月

备注：

假设此文档需要日后更新，请创立人填写版本控制表格，否那么删除版本控制表格。

目录

TOC\o1-3\h\z\u第1章 概述 5

1.1 目的 5

1.2 适用范围 5

1.3 适用版本 5

1.4 实施 5

1.5 例外条款 5

第2章 身份与访问控制 6

2.1 账户锁定策略 6

2.2 登录用图片验证码 6

2.3 口令传输 6

2.4 保存登录功能 7

2.5 纵向访问控制 7

2.6 横向访问控制 7

2.7 敏感资源的访问 8

第3章 会话管理 9

3.1 会话超时 9

3.2 会话终止 9

3.3 会话标识 9

3.4 会话标识复用 10

第4章 代码质量 11

4.1 防范跨站脚本攻击 11

4.2 防范SQL注入攻击 11

4.3 防止路径遍历攻击 11

4.4 防止命令注入攻击 12

4.5 防止其他常见的注入攻击 12

4.6 防止下载敏感资源文件 13

4.7 防止上传后门脚本 13

4.8 保证多线程平安 13

4.9 保证释放资源 14

第5章 内容管理 15

5.1 加密存储敏感信息 15

5.2 防止泄露敏感技术细节 15

第6章 防钓鱼与防垃圾邮件 16

6.1 防钓鱼 16

6.2 防垃圾邮件 16

第7章 密码算法 17

7.1 平安算法 17

7.2 密钥管理 17

第8章 评审与修订 18

概述

目的

本文档旨在指导系统管理人员进行Web应用平安基线检查。

适用范围

本配置标准的使用者包括：效劳器系统管理员、应用程序管理员、网络平安管理员。

适用版本

基于B/S架构的Web应用

实施

例外条款

身份与访问控制

账户锁定策略

平安基线工程名称

Web应用账户锁定策略平安基线要求项

平安基线编号

SBL-WebAPP-02-01-01

平安基线项说明

用户登录失败一定次数后系统自动锁定账号一段时间，以防止暴力猜想密码。

检测操作步骤

尝试使用错误用户名口令失败登录屡次，

基线符合性判定依据

用户登录失败一定次数后系统自动锁定账号。

备注

登录用图片验证码

平安基线工程名称

Web应用登录验证策略平安基线要求项

平安基线编号

SBL-WebAPP-02-02-01

平安基线项说明

用户登录需提供图片验证码，以防止固定密码暴力猜想账号。

检测操作步骤

检查登录认证界面输入项，并右键点击图片查看链接属性。

基线符合性判定依据

要求包含图片验证码输入项，并且图片链接属性不得包含明文图片验证码。

备注

口令传输

平安基线工程名称

Web应用口令传输策略平安基线要求项

平安基线编号

SBL-WebAPP-02-03-01

平安基线项说明

不能明文传输用户登录密码。

检测操作步骤

尝试登录系统，并使用抓包工具查看交互过程中在网络传输的内容。

基线符合性判定依据

要求不得出现明文口令

备注

保存登录功能

平安基线工程名称

Web应用保存登录平安基线要求项

平安基线编号

SBL-WebAPP-02-04-01

平安基线项说明

不能提供“保存登录”功能，该功能可能被利用于CSRF攻击。

检测操作步骤

检查登录界面是否提供了保存登录功能

基线符合性判定依据

不得提供该功能。

备注

纵向访问控制

平安基线工程名称

Web应用纵向访问平安基线要求项

平安基线编号

SBL-WebAPP-02-05-01

平安基线项说明

合理进行纵向访问控制，不允许普通用户访问管理功能。

检测操作步骤

了解是否有不允许普通用户访问的功能，尝试直接在浏览器中访问功能链接。

基线符合性判定依据

用户不得跨权限访问受控页面

备注

横向访问控制

平安基线工程名称

Web应用横向访问平安基线要求项

平安基线编号

SBL-WebAPP-02-06-01

平安基线项说明

合理进行横向访问控制，不允许用户访问其他用户的敏感数据。

检测操作步骤

了解是否存在敏感信息，检查是否对个人敏感信息进行了有效保护

基线符合性判定依据

用户不得跨权限查看其它用户受保护敏感信息

备注

敏感资源的访问

平安基线工程名称

Web应用敏感资源访问平安基线要求项

平安基线编号

SBL-WebAPP-02-07-01

平安基线项说明

需要限制对敏感资源的访问，例如后台管理，日志记录等。

检测操作步骤

检查效劳器的文件是否存在敏感资源，