Web應(yīng)用安全通用評估準則_第1頁
Web應(yīng)用安全通用評估準則_第2頁
Web應(yīng)用安全通用評估準則_第3頁
全文預(yù)覽已結(jié)束

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

Web應(yīng)用安全通用評估準則1、鑒另U(Authentication)最佳實踐鑒別機制應(yīng)防止無憑證用戶的非法訪問應(yīng)用程序功能,通過禁止惡意口令猜測嘗試來防止暴力破解常見問題登入過程繞過;自動登錄腳本;身份變化;……2、授權(quán)(Authorization)最佳實踐授權(quán)機制應(yīng)防止用戶訪問其他用戶的數(shù)據(jù)或防止非授權(quán)使用應(yīng)用程序功能常見問題隱藏的或可猜測的特權(quán)功能;A用戶可讀/修改B用戶的數(shù)據(jù);GET/POST參數(shù)模糊 3、用戶輸入驗證(User'sInputSanitization)最佳實踐所有的用戶輸入數(shù)據(jù)應(yīng)該進行檢查和驗證。邊界檢查可用于防止緩沖區(qū)欲出/變量賦值違規(guī)。語法檢查應(yīng)強制實施以防止數(shù)據(jù)編碼,數(shù)據(jù)注入,格式化字符串攻擊,冋時拒絕輸入禁止的字符等。利用用戶可控輸入所產(chǎn)生的輸出數(shù)據(jù)必須經(jīng)過適當(dāng)?shù)母袷交员苊馔ㄓ脩?yīng)用進行客戶端腳本注入。常見問題半數(shù)溢出;JavaScript注入,SQL注入;跨站腳本;服務(wù)器端文件包含……4、錯誤輸出和信息泄漏(ErrorHandlingandInformationleakage)最佳實踐應(yīng)用程序應(yīng)限制可提供詳細系統(tǒng)信息或業(yè)務(wù)邏幫助等信息的錯誤消息,以內(nèi)這些消息可幫助攻擊者危及系統(tǒng);常見問題SQL冗余錯誤消息,并存在后臺數(shù)據(jù)庫結(jié)構(gòu)信息的泄露;提示性的錯誤消息,詳細給出文件系統(tǒng)路徑信息;當(dāng)帳戶或口令出錯的登錄進程通知信息;服務(wù)器旗幟標(biāo)及發(fā)布版本泄露,?….5、口令/PIN碼的復(fù)雜性(Password/PINComplexity)最佳實踐用戶認證的長度和復(fù)雜性要求進行強制以防止口令和PINs的暴力破解常見問題4個數(shù)字的口令,常見帳號(如demo/demo或admin/admin);缺省安裝口令,……

6、用戶數(shù)據(jù)保密性(User'sdataconfidentiality)最佳實踐應(yīng)用程序應(yīng)用在整個數(shù)據(jù)流的生命周期中維護用戶數(shù)據(jù)的隱私和機密性。應(yīng)用程序應(yīng)確保敏感數(shù)據(jù)(如口令, PIN嗎或MSISDN)不被存儲在Web服務(wù)器或者逆向代理日志文件中,或以非加密形式駐留于cookies或瀏覽器的緩存數(shù)據(jù)中。應(yīng)正確地實現(xiàn)授權(quán)以保證應(yīng)用程序用戶不能查看到其他用戶的敏感信息。常見問題信用卡號和CCV2碼被存儲,而口令明文形式出現(xiàn)在日志文件中;系統(tǒng)管理員可以讀取其他用戶的口令;日志文件可被非授權(quán)人員訪問7、會話機制(Sessionmechanism最佳實踐會話管理應(yīng)依賴于強壯的機制和會話標(biāo)識。會話標(biāo)識,如cookie或會話ID,應(yīng)難以預(yù)測常見問題被偷竊的會話cookie可以在其他IP地址的計算機上再次使用,通過模糊參數(shù)惡意地實現(xiàn)身份交換。8、補丁管理(Patchmanagement)最佳實踐所有暴露的和啟用Web應(yīng)用組件(如Web應(yīng)用框架,反向代理,模塊,……)必須更新到最新最穩(wěn)定的版本,特別要關(guān)注最新的緊急安全補丁和出現(xiàn)漏洞攻擊工具的補丁。常見問題未安裝可被利用的脆弱性的補丁,而攻擊程序已存在。9、管理員接口(Administrationinterfaces最佳實踐管理功能應(yīng)從應(yīng)用程序的其他部分隔離出來。只有授權(quán)的用戶被允許使用應(yīng)用程序的管理功能。常見問題常見管理URLs;管理功能可以從主應(yīng)用進行調(diào)用,……10、通信安全(Communicationsecurity)最佳實踐敏感信息的通信傳輸應(yīng)進行加密以防止為授權(quán)的搭線竊聽,從而保證數(shù)據(jù)的完整性。常見問題口令僅使用Base64編碼就進行傳輸;在傳輸logon/password或其他機密信息時,未使用HTTPS協(xié)議,......

11、第二方服務(wù)暴露最佳實踐任何缺省安裝部署的第三方依賴或其他服務(wù)應(yīng)嚴格審計,以確保它們不會危及其所支持的產(chǎn)品或應(yīng)用的安全。應(yīng)有網(wǎng)絡(luò)級的訪問控

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論