web应用安全开发规范

web应用安全开发规范篇一：华为 Web应用安全开发规范DKBA 华为技术有限公司内部技术规范 DKBA Web 应用安全开发规范 XX 年 XX月 XX日发布 XX 年 XX月 XX日实施 华为技术有限公司 Huawei Technologies Co., Ltd. 版权所有侵权必究 All rights reserved 修订声明 Revision declaration 本规范拟制与解释部门： 网络安全能力中心&电信软件与核心网网络安全工程部 本规范的相关系列规范或文件： C&C+语言安全编程规范 Java 语言安全编程规范相关国际规范或文件一致性： 无 替代或作废的其它规范或文件： 无 相关规范或文件的相互关系： 产品网络安全红线和电信软件与核心网业务部安全能力基线中的 Web安全要求引用了本规范的内容，如果存在冲突，以本规范为准。 规范号 主要起草部门专家 主要评审部门专家 修订情况DKBA 安全解决方案：赵武 42873，杨光磊 57125，万振华 55108 软件公司设计管理部：刘茂征 11000，刘高峰 63564，何伟祥 33428 安全解决方案：刘海军 1XX，吴宇翔 18167，吴海翔 57182 接入网：彭东红 27279 无线：胡涛 46634 核心网：吴桂彬 41508，甘嘉栋 33229，马进 32897，谢秀洪 33194，张毅 27651，张永锋 40582 业软：包宜强 56737，丁小龙 63583，董鹏越 60793，傅鉴杏 36918，傅用成 30333，龚连阳 18753，胡海60017320，胡海华 52463，李诚 37517，李大锋 54630，李战杰 21615，刘创文 65632，刘飞 46266，刘剑 51690，栾阳 62227，罗仁钧 65560，罗湘武 06277，马亮 60009259，孟咏喜 22499，潘海涛 27360，孙林 46580，王福 40317，王锦亮 36430，王美玲 60011866，王谟磊 65558，王玉龙24387，杨娟 60019875，张锋 43381，张健 60005645，张轶57143，邹韬 51591 何伟祥 33428 刘高峰 63564，龚连阳 00129383，许汝波 62966，吴宇翔 00120395，王欢 00104062，吕晓雨 56987 增加了 Web Service、Ajax 和上传和下载相关的安全规范。 何伟祥 00162822 增加了防止会话固定和防止跨站请求伪造的安全规范。何伟祥 00162822 增加了“规则”的实施指导；删除了“建议” ；修改了“6 配套 CBB介绍”的内容和获取方式。增加了“ DWR” 何伟祥 00162822 吴淑荣 00197720 魏建雄 00222906 谢和坤 00197709 李田 00042091 孙波 00175839 朱双红 00051429 王伟 00207440 陈伟 00141500 增加“规则、规则、规则、建议、 PHP” 增加“ RESTful Web Service” 修改“规则、规则、规则、规则” 删除“口令策略”和“规则、规则、规则” 附件文档作为对象直接插入主文档 目录 Table of Contents 1 概述 7 背景简介 7 技术框架 7 使用对象 8 适用范围 8用词约定 9 2 常见 WEB安全漏洞 9 3 WEB 设计安全规范 10 WEB 部署要求 10 身份验证 11 口令 11 认证 11 验证码 13 会话管理 13 权限管理 15 敏感数据保护 16 敏感数据定义 16 敏感数据存储 16 敏感数据传输 17 安全审计 18 WEB SERVICE 19 RESTFUL WEB SERVICE 20 DWR 21 4 WEB 编程安全规范 22 输入校验 22 输出编码 25 上传下载 26 异常处理 26 代码注释 26 归档要求 27 其他 28 PHP 29 5 WEB 安全配置规范 31 6 配套 CBB介绍 31 WAF CBB 31 验证码 CBB 32 7 附件 32 附件 1 TOMCAT配置 SSL指导 32 附件 2 WEB SERVICE 安全接入开发指导 32 附件 3 客户端 IP鉴权实施指导 32 附件 4 口令安全要求 32 附件 5 WEB权限管理设计规格说明书 34 Web 应用安全开发规范 1 概述 背景简介 在 Internet大众化及 Web技术飞速演变的今天，Web安全所面临的挑战日益严 峻。黑客攻击技术越来越成熟和大众化，针对 Web的攻击和破坏不断增长，Web 安全风险达到了前所未有的高度。许多程序员不知道如何开发安全的应用程序，开发出来的 Web应用存在较多的安全漏洞，这些安全漏洞一旦被黑客利用将导致严重甚至是灾难性的后果。这并非危言耸听，类似的网上事故举不胜举，公司的 Web产品也曾多次遭黑客攻击，甚至有黑客利用公司 Web产品的漏洞敲诈运营商，造成极其恶劣的影响。 本规范就是提供一套完善的、系统化的、实用的 Web安全开发方法供 Web研发人员使用，以期达到提高 Web安全的目的。本规范主要包括三大内容：Web设计安全、Web 编程安全、Web 配置安全，配套 CBB，多管齐下，实现 Web应用的整体安全性；本规范主要以JSP/Java编程语言为例。 技术框架 图 1 典型的 Web安全技术框架 图 1 显示了典型的 Web安全的技术框架和安全技术点，这些安全技术点，贯穿整个 Web设计开发过程。上图各个区域中存在任何一点薄弱环节，都容易导致安全漏洞。 由于 HTTP的开放性，Web 应用程序必须能够通过某种形式的身份验证来识别用户，并确保身份验证过程是安全的，同样必须很好地保护用于跟踪已验证用户的会话处理机制。为了防止一些恶意输入，还要对输入的数据和参数进行校验。另外还要考虑 Web系统的安全配置，敏感数据的保护和用户的权限管理，以及所有操作的安全审计。当然还要考虑代码安全，以及其他方面的威胁。 表 1 列出了一些 Web缺陷类别，并针对每类缺陷列出了由于设计不当可能会导致的潜在问题。针对这些潜在的问题，本规范中有相应的解决措施。 表 1 Web 应用程序缺陷和由于不良设计可能导致的问题 缺陷类别 由于不良设计可能导致的问题 身份验证 身份伪造、口令破解、权限提升和未授权访问。 会话管理 通过捕获导致会话劫持和会话伪造。 权限管理 访问机密或受限数据、篡改和执行未授权操作。 配置管理 未授权访问管理界面、更新配置数据、访问用户帐户和帐户配置文件。 敏感数据 机密信息泄漏和数据篡改。 加密技术 未授权访问机密数据或帐户信息。 安全审计 未能识别入侵征兆、无法证明用户的操作，以及在问题诊断中存在困难。 输入检验 通过嵌入查询字符串、窗体字段、Cookie 和 HTTP 标头中的恶意字符串所执行的攻击。包括命令执行、跨站点脚本编写 (XSS)、SQL 注入和缓冲区溢出攻击等。 参数操作 路径遍历攻击、命令执行、此外还有跳过访问控制机制、导致信息泄露、权限提升和拒绝服务。 异常管理 拒绝服务和敏感的系统级详细信息泄露。 使用对象 本规范的读者及使用对象主要为 Web相关的需求分析人员、设计人员、开发人员、测试人员等。 适用范围 本规范的制定考虑了公司各种 Web应用开发的共性，适合于公司绝大部分 Web产品，要求 Web产品开发必须遵循。对于嵌入式系统（如 ADSL Modem、硬件防火墙）中的Web应用，由于其特殊性（CPU、内存、磁盘容量有限，没有成熟的 Web容器） ，不强制遵循本规范的所有内容，只需遵循以下章节的规则要求： 身份验证 会话管理 敏感数据保护 输入校验 输出编码 上传下载 代码注释 归档要求 用词约定 ? 规则：强制必须遵守的原则 ? 建议：需要加以考虑的原则 ? 说明：对此规则或建议进行相应的解释 ? 实施指导：对此规则或建议的实施进行相应的指导 2 常见 Web安全漏洞 Web 应用的安全漏洞有很多，无法穷举。针对众多的Web漏洞，OWASP 的专家们结合各自在各领域的应用安全工作经验及智慧，提出了十大 Web应用程序安全漏洞，帮助人们关注最严重的漏洞。 （OWASP 即开放 Web应用安全项目，是一个旨在帮助人们理解和提高 Web应用及服务安全性的项目组织。 ） 表 2 十大 Web应用程序安全漏洞列表 序号 漏洞名称 漏洞描述 1 注入 注入攻击漏洞，例如 SQL、OS 命令以及 LDAP注入。这些攻击发生在当不可信的数据作为命令或者查询语句的一部分，被发送给解释器的时候。攻击者发送的恶意数据可以欺骗解释器，以执行计划外的命令或者访问未被授权的数据。 2 跨站脚本 当应用程序收到含有不可信的数据，在没有进行适当的验证和转义的情况下，就将它发送给一个网页浏览器，这就会产生跨站脚本攻击（简称 XSS） 。XSS允许攻击者在受害者的浏览器上执行脚本，从而劫持用户会话、危害网站、或者将用户转向至恶意网站。 3 失效的身份认证和会话管理 与身份认证和会话管理相关的应用程序功能往往得不到正确的实现，这就导致了攻击者破坏密码、密匙、会话令牌或攻击其他的漏洞去冒充其他用户的身份。 4 不安全的直接对象引用 当开发人员暴露一个对内部实现对象的引用时，例如，一个文件、目录或者数据库密匙，就会产生一个不安全的直接对象引用。在没有访问控制检测或其他保护时，攻击者会操控这些引用去访问未授权数据。 5 跨站请求伪造 一个跨站请求伪造攻击迫使登录用户的浏览器将伪造的 HTTP请求，包括该用户的会话cookie和其他认证信息，发送到一个存在漏洞的 Web应用程序。这就允许了攻击者迫使用户浏览器向存在漏洞的应用程序发送请求，而这些请求会被应用程序认为是用户的合法请求。 6 安全配置错误 好的安全需要对应用程序、框架、应用程序服务器、Web 服 篇二：Web 应用安全测试规范/retype/zoom/34b98341bcd126fff7050b9c?pn=2&x=0&y=0&raww=635&rawh=217&o=jpg_6_0_&type=pic&aimh=&md5sum=170a1d8407d55241dd918d8e6e19b851&sign=168801b679&zoom=&png=4242-9379&jpg=0-16659“ target=“_blank“点此查看目 录 Table of Contents 1 2 3 概述 . 7 背景简介 . 7 适用读者 . 7 适用范围 . 7 安全测试在 IPD流程中所处的位置 .8 安全测试与安全风险评估的关系说明 . 8 注意事项 . 9 测试用例级别说明 . 9 测试过程示意图 . 10 WEB安全测试规范 .11 自动化 WEB漏洞扫描工具测试.11 AppScan application扫描测试 . 12 AppScan Web Service 扫描测试 .13 服务器信息收集 . 13 运行帐号权限测试 .13 Web 服务器端口扫描 .14 HTTP 方法测试 . 14 HTTP PUT方法测试 .15 HTTP DELETE方法测试 . 16 HTTP TRACE方法测试 . 17 HTTP MOVE方法测试.17 HTTP COPY方法测试 . 18 Web 服务器版本信息收集 .19 文件、目录测试 . 20 工具方式的敏感接口遍历 .20 Robots 方式的敏感接口查找 . 22 Web 服务器的控制台 .23目录列表测试 .24 文件归档测试 .26 认证测试 . 27 验证码测试 .27 认证错误提示 .28 锁定策略测试 .29 认证绕过测试 .30 找回密码测试 .30 修改密码测试 .31 不安全的数据传输 .32 强口令策略测试 .33 会话管理测试 . 34 身份信息维护方式测试 .34 Cookie 存储方式测试 . 35 用户注销登陆的方式测试 .35 注销时会话信息是否清除测试 .36 会话超时时间测试 .37 会话定置测试 .37 权限管理测试 . 38 横向测试 .39 纵向测试 .40 文件上传下载测试 . 45 文件上传测试 .45 文件下载测试 .46 信息泄漏测试 . 48 连接数据库的帐号密码加密测试 .48 客户端源代码敏感信息测试 .48 客户端源代码注释测试 .49 异常处理 .49页面测试.51 Web 服务器状态信息测试 .52 不安全的存储 .52 输入数据测试 . 53 SQL 注入测试 .53 MML 语法注入 . 55 命令执行测试 .55 跨站脚本攻击测试 . 56 GET 方式跨站脚本测试 .56 POST 方式跨站脚本测试 . 57 逻辑测试 . 58 搜索引擎信息收集 . 58 WEB SERVICE测试 .58 其他 . 61 class 文件反编译测试 . 61 4 5 APPSCAN 测试覆盖项说明 . 62 附件 . 63 本规范所涉及的测试工具 .63 篇三：WEB 应用系统安全规范文档WEB 应用系统安全规范 目 录 WEB 应用系统安全规范 . 1 1 概述 .2 目的 .2 适用范围 .2 2 3 4 范围 .3 名词解释 .3 WEB开发安全规范 . 3 WEB 应用程序体系结构和安全 . 3 WEB安全编码规范 . 5 区分公共区域和受限区域 . 5 对身份验证 cookie 的内容进行加密 . 5 限制会话寿命 .6 使用 SSL 保护会话身份验证 Cookie . 6 确保用户没有绕过检查.6 验证从客户端发送的所有数据 .6 不要向客户端泄漏信息.6 记录详细的错误信息 .6 捕捉异常 .6 不要信任 HTTP 头信息 .7 不要使用 HTTP-GET 协议传递敏感数据 .7 不要在永久性 cookie 中存储敏