WEB應用系統(tǒng)安全規(guī)范

WEB應用系統(tǒng)安全規(guī)范1.概述1.1目的本規(guī)范旨在確保Web應用系統(tǒng)的安全性，防止?jié)撛诘陌踩{和攻擊，保護用戶信息和企業(yè)數(shù)據(jù)的安全。1.2適用范圍本規(guī)范適用于所有Web應用系統(tǒng)的開發(fā)、維護和管理，包括但不限于企業(yè)內部應用系統(tǒng)、公共服務平臺、電子商務網(wǎng)站等。2.范圍本規(guī)范涵蓋了Web應用系統(tǒng)的安全規(guī)范，包括Web應用程序的體系結構和安全、Web安全編碼規(guī)范等方面。3.名詞解釋本規(guī)范中涉及到的名詞解釋如下：-Web應用系統(tǒng)：指基于Web技術開發(fā)的應用系統(tǒng)，包括前端用戶界面和后端服務接口。-安全威脅：指可能導致Web應用系統(tǒng)遭受攻擊或數(shù)據(jù)泄露的潛在威脅。-攻擊：指利用漏洞或弱點對Web應用系統(tǒng)進行非法訪問或操作的行為。-用戶信息：指用戶在Web應用系統(tǒng)中提供的個人信息，包括但不限于用戶名、密碼、手機號碼、電子郵箱等。-企業(yè)數(shù)據(jù)：指企業(yè)在Web應用系統(tǒng)中存儲和處理的數(shù)據(jù)，包括但不限于客戶信息、訂單信息、財務信息等。4.Web開發(fā)安全規(guī)范4.1Web應用程序體系結構和安全Web應用程序的體系結構應該采用分層架構，將用戶界面、業(yè)務邏輯和數(shù)據(jù)訪問層分離，確保系統(tǒng)的可擴展性和安全性。4.2Web安全編碼規(guī)范4.2.1區(qū)分公共區(qū)域和受限區(qū)域Web應用系統(tǒng)應該將公共區(qū)域和受限區(qū)域進行區(qū)分，確保敏感信息只在受限區(qū)域內進行傳輸和處理。4.2.2對身份驗證cookie的內容進行加密Web應用系統(tǒng)應該對身份驗證cookie的內容進行加密，防止攻擊者通過竊取cookie來冒充用戶身份。4.2.3限制會話壽命Web應用系統(tǒng)應該限制會話的壽命，確保用戶在長時間未操作時自動退出系統(tǒng)，避免會話劫持。4.2.4使用SSL保護會話身份驗證CookieWeb應用系統(tǒng)應該使用SSL保護會話身份驗證Cookie，確保傳輸過程中的安全性。4.2.5確保用戶沒有繞過檢查Web應用系統(tǒng)應該確保用戶沒有繞過檢查，防止攻擊者通過繞過檢查來進行非法操作。4.2.6驗證從客戶端發(fā)送的所有數(shù)據(jù)Web應用系統(tǒng)應該驗證從客戶端發(fā)送的所有數(shù)據(jù)，確保數(shù)據(jù)的合法性和安全性。4.2.7不要向客戶端泄漏信息Web應用系統(tǒng)應該避免向客戶端泄漏敏感信息，防止攻擊者通過獲取信息來進行攻擊。4.2.8記錄詳細的錯誤信息Web應用系統(tǒng)應該記錄詳細的錯誤信息，便于開發(fā)人員進行問題排查和修復。4.2.9捕捉異常Web應用系統(tǒng)應該捕捉異常，防止系統(tǒng)崩潰或數(shù)據(jù)丟失。4.2.10不要信任HTTP頭信息Web應用系統(tǒng)應該避免信任HTTP頭信息，防止攻擊者通過偽造HTTP頭信息來進行攻擊。4.2.11不要使用HTTP-GET協(xié)議傳遞敏感數(shù)據(jù)Web應用系統(tǒng)應該避免使用HTTP-GET協(xié)議傳遞敏感數(shù)據(jù)，防止數(shù)據(jù)被攔截和竊取。4.2.12不要在永久性cookie中存儲敏感數(shù)據(jù)Web應用系統(tǒng)應該避免在永久性cookie中存儲敏感數(shù)據(jù)，防止攻擊者通過竊取cookie來獲取敏感數(shù)據(jù)。4.2.13對數(shù)據(jù)進行加密或確保通信通道的安全Web應用系統(tǒng)應該對數(shù)據(jù)進行加密或確保通信通道的安全，防止數(shù)據(jù)被竊取和篡改。4.2.14SQL語句的參數(shù)應以變量形式傳入Web應用系統(tǒng)應該將SQL語句的參數(shù)以變量形式傳入，防止SQL注入攻擊。4.2.15頁面中的非源代碼內容應經(jīng)過URI編碼Web應用系統(tǒng)應該將頁面中的非源代碼內容經(jīng)過URI編碼，防止攻擊者通過注入腳本來進行攻擊。4.2.16頁面中拼裝的腳本應校驗元素來源的合法性Web應用系統(tǒng)應該校驗頁面中拼裝的腳本的元素來源的合法性，防止攻擊者通過注入腳本來進行攻擊。密碼加密存儲、隱藏重要配置參數(shù)信息和隱藏日志文件是常見的安全措施。同時，禁用不需要的HTTP方法和WebDAV功能也能提高系統(tǒng)的安全性。為了保證管理平臺和測試賬號的安全，應該采用強口令。此外，還應該定期核查文件上傳路徑和日志路徑，防止木馬入侵。及時刪除臨時文件也是必要的安全措施。對于重要系統(tǒng)，應該采取隔離措施，確保安全性。安全審計也是必要的，包括審核并記錄跨應用層的訪問、標識流、記錄關鍵事件、確保日志文件的安全、定期備份和分析日志文件等。規(guī)范的執(zhí)行和更新機制也是必要的安全措施。為了規(guī)范JavaWeb應用編碼和部署的安全控制和管理，本規(guī)范適用于所有在線Java業(yè)務系統(tǒng)和測試系統(tǒng)的WEB應用，并可作為其他非WEB應用的編碼和部署安全辦法參考。本規(guī)范列出了常見安全措施和高風險的漏洞，對于未能盡述的必要安全措施，也應該予以采用。本規(guī)范每年復審一次，其它時候也可以根據(jù)需要進行修訂并發(fā)布。本規(guī)范的解釋權和修改權歸屬信息技術部。在本規(guī)范中，驗證是指通訊實體彼此驗證以經(jīng)過訪問授權的特定標識為依據(jù)。資源的訪問控制是指資源的交互僅限于某些用戶或程序的集合，其目的是對完整性、保密性或可用性實施強制約束。數(shù)據(jù)完整性是指檢驗信息是否被第三方修改。機密性或數(shù)據(jù)隱私是指確保信息僅對經(jīng)過訪問授權的用戶可用。不可否認是指對用戶進行檢驗，讓他無法否認自己進行過的活動。記錄，以防止令牌被竊取。授權使用最小權限原則。將用戶分配到角色，而不是直接授予權限。使用多層次授權，以確保數(shù)據(jù)和操作的訪問控制。使用審批流程，以確保授權的合法性。配置管理將配置數(shù)據(jù)分離，以便在不影響應用程序的情況下進行更改。使用安全的配置文件存儲和傳輸機制。限制對配置文件的訪問。敏感數(shù)據(jù)加密敏感數(shù)據(jù)，包括在傳輸和存儲中。使用加密算法和密鑰管理方案。確保加密強度和密鑰長度。會話管理使用安全的會話管理方案，包括隨機生成的會話標識符和會話超時。使用HTTPS連接傳輸會話標識符。不要在URL中傳遞會話標識符。確保會話數(shù)據(jù)的機密性和完整性。加密使用適當?shù)募用芩惴ê兔荑€長度。使用安全的密鑰管理方案。參數(shù)操作驗證和凈化所有輸入?yún)?shù)。使用參數(shù)化查詢來防止SQL注入攻擊。限制參數(shù)的長度、格式和范圍。異常管理記錄所有異常和錯誤。不要向用戶顯示詳細的錯誤信息。使用安全的日志記錄機制，并保護日志文件免受未經(jīng)授權的訪問。審核和記錄記錄所有安全相關事件，包括登錄和注銷，以及敏感數(shù)據(jù)的訪問。使用防篡改記錄來保護記錄的完整性。定期審查記錄，以便發(fā)現(xiàn)入侵跡象。Web應用程序的安全設計是非常重要的，因為它可以幫助我們評估安全策略和機制的有效性。要確保Web應用程序的安全性，我們需要考慮身份驗證和會話管理機制的安全性，以及防止參數(shù)操作和敏感數(shù)據(jù)泄漏等問題。此外，我們還需要注意應用程序漏洞類別，如輸入驗證、身份驗證、授權、配置管理、敏感數(shù)據(jù)、會話管理、加密、參數(shù)操作和異常管理。為了避免安全漏洞，我們需要采取措施來規(guī)范輸入驗證、身份驗證、授權、配置管理、敏感數(shù)據(jù)、會話管理、加密、參數(shù)操作和異常管理，并記錄所有安全相關事件。并限制其壽命。在受限區(qū)域，只允許特定用戶訪問，且必須通過身份驗證。對于一個零售網(wǎng)站，匿名訪問產(chǎn)品分類，但添加到購物車時需要驗證身份。下訂單時，需要登錄并通過SSL進行安全交易。站點的不同區(qū)域應使用不同的身份驗證和授權規(guī)則，以限制對SSL的使用，避免不必要的性能下降。為了保護敏感數(shù)據(jù)，應該使用加密和強訪問控制。不要在永久性cookie中存儲敏感數(shù)據(jù)，避免使用HTTP-GET協(xié)議傳遞敏感數(shù)據(jù)。同時，應限制會話壽命并對身份驗證cookie的內容進行加密。對于加密算法，應使用可靠并經(jīng)過測試的平臺功能，避免自創(chuàng)算法，使用正確的算法和密鑰大小，定期回收密鑰并在受限區(qū)域存儲密鑰。在應用程序中，應使用最少特權帳戶和進程，實施分別授權，限制用戶訪問系統(tǒng)級資源。不要以純文本形式存儲憑據(jù)，使用強身份驗證和授權，并避免在Web空間中存儲敏感數(shù)據(jù)。在遠程管理時，要確保通信通道的安全，驗證從客戶端發(fā)送的所有數(shù)據(jù)，并使用結構化的異常處理機制，避免泄漏敏感的應用程序實施細節(jié)和記錄保密數(shù)據(jù)。最后，應該識別懷有惡意的行為，了解好的數(shù)據(jù)流應該是什么樣子，并在所有應用層中審核和記錄活動。定期備份和分析日志文件，確保日志文件訪問的安全。使用Web安全編碼規(guī)范，并區(qū)分公共區(qū)域和受限區(qū)域，以保護站點和用戶的安全。即使使用SSL，也應該對cookie內容進行加密，以防止XSS攻擊。攻擊者可以嘗試竊取cookie，但加密后的cookie內容可以防止他們查看和修改。雖然攻擊者仍然可以使用cookie訪問應用程序，但只有在cookie有效期內才能成功訪問?？s短會話壽命可以減少會話劫持和重復攻擊的風險。會話壽命越短，攻擊者捕獲會話cookie并利用它訪問應用程序的時間越有限。使用SSL保護會話身份驗證cookie，不要通過HTTP連接傳遞身份驗證cookie。在授權cookie內設置安全的cookie屬性，以便指示瀏覽器只通過HTTPS連接向服務器傳回cookie。確保用戶沒有通過操作參數(shù)繞過檢查。最終用戶可以通過瀏覽器地址欄操作URL參數(shù)，因此應該在服務器端代碼中執(zhí)行檢查，而不是在客戶端的JavaScript中檢查。限制可接受用戶輸入的字段，并對來自客戶端的所有值進行修改和驗證。只接受已知的有益數(shù)據(jù)，例如，如果輸入字段面向一個州，那么只有與該州郵政編碼匹配的輸入才能被接受。在發(fā)生故障時，不要暴露將會導致信息泄漏的消息。應向客戶端返回一般性錯誤消息，而不是包括函數(shù)名以及調試內部版本時出問題的行數(shù)的堆棧跟蹤詳細信息。向錯誤日志發(fā)送詳細的錯誤消息。應該向服務或應用程序的客戶發(fā)送最少量的信息，如一般性錯誤消息和自定義錯誤日志ID，隨后可以將這些信息映射到事件日志中的詳細消息。確保沒有記錄密碼或其他敏感數(shù)據(jù)。使用結構化異常處理機制，并捕捉異?，F(xiàn)象。這可以避免將應用程序置于不協(xié)調的狀態(tài)，這種狀態(tài)可能會導致信息泄漏。確定如何在應用程序內部廣播異?，F(xiàn)象，并著重考慮在應用程序的邊界會發(fā)生什么事情。不要信任HTTP頭信息。HTTP頭在HTTP請求和響應開始時發(fā)送。為了保證Web應用程序的安全性，不應該基于HTTP頭中包含的信息做出任何安全決策。攻擊者很容易操作HTTP頭，例如，HTTP頭中的“referer”字段包含發(fā)出請求的網(wǎng)頁的URL。因此，不應該基于“referer”字段值來檢查發(fā)出請求的頁面是否由該Web應用程序生成，因為該字段很容易偽造。為了保護敏感數(shù)據(jù)的安全，應避免使用HTTP-GET協(xié)議存儲敏感數(shù)據(jù)。因為該協(xié)議使用查詢字符串傳遞數(shù)據(jù)，而查詢字符串經(jīng)常被服務器記錄下來。如果敏感數(shù)據(jù)被記錄到查詢字符串中，那么這些數(shù)據(jù)就可能被竊取。因此，應該使用其他協(xié)議來存儲敏感數(shù)據(jù)。同樣地，避免在永久性cookie中存儲敏感數(shù)據(jù)，因為如果存儲的是純文本數(shù)據(jù)，最終用戶能夠看到并修改該數(shù)據(jù)。如果對其加密，則必須考慮密鑰管理。例如，如果用于加密cookie中的數(shù)據(jù)的密鑰已過期且已被回收，則新密鑰不能對客戶端通過瀏覽器傳遞的永久性cookie進行解密。如果在網(wǎng)絡上向客戶端發(fā)送敏感數(shù)據(jù)，應對數(shù)據(jù)進行加密或確保通信通道的安全。通常的做法是在客戶端與Web服務器之間使用SSL。服務器間的通信通常使用IPSec。要確保通過多重中間件傳輸?shù)拿舾袛?shù)據(jù)的安全性，如Web服務簡單對象訪問協(xié)議(SOAP)消息，應使用消息級加密。在對數(shù)據(jù)庫進行查詢與各類操作時，SQL語句中的參數(shù)應以變量形式傳輸給服務器，不應直接將參數(shù)的值拼接到SQL語句的文本中。參數(shù)的類型包括所有數(shù)據(jù)類型，而不僅是字符串類型。參數(shù)值的來源包括但不限于：用戶輸入的數(shù)據(jù)、從數(shù)據(jù)庫中讀出的數(shù)據(jù)、從配置文件中讀出的數(shù)據(jù)、從外部系統(tǒng)中獲得的數(shù)據(jù)、其它程序邏輯計算得出的數(shù)據(jù)，等等。SQL語句的執(zhí)行位置包括但不限于：代碼中的SQL語句，數(shù)據(jù)庫的存儲過程、觸發(fā)器、定時器等。應用程序在處理用戶非法URL請求，觸發(fā)后臺應用程序的SQL錯誤時，應返回處理后的錯誤頁面提示，禁止直接拋出數(shù)據(jù)庫SQL錯誤，如出現(xiàn)ORA-xxx等等。頁面中的非源代碼內容應經(jīng)過URI編碼，以避免特殊字符直接出現(xiàn)在頁面中。應當按照安全規(guī)范進行配置和部署。網(wǎng)絡設備、服務器和應用程序等組件應該經(jīng)過安全評估和審計，以確保其符合安全標準和政策要求。同時，應該定期對這些組件進行漏洞掃描和安全測試，及時修復發(fā)現(xiàn)的漏洞和弱點。數(shù)據(jù)加密和訪問控制在程序設計中，應考慮對重要數(shù)據(jù)進行加密，確保數(shù)據(jù)在傳輸和存儲過程中的安全性。同時，應該對系統(tǒng)中的用戶和角色進行訪問控制，限制用戶的權限和訪問范圍，防止惡意用戶的攻擊和數(shù)據(jù)泄露。日志記錄和監(jiān)控應該對系統(tǒng)中的操作和事件進行日志記錄和監(jiān)控，以便于及時發(fā)現(xiàn)和應對安全事件。同時，應該定期對日志進行分析和審計，及時發(fā)現(xiàn)異常事件和行為，防止?jié)撛诘陌踩{。備份和恢復應該定期對系統(tǒng)數(shù)據(jù)進行備份，并存儲在安全可靠的位置。同時，應該測試備份和恢復過程，以確保備份數(shù)據(jù)的完整性和可用性。在發(fā)生安全事件或數(shù)據(jù)丟失時，能夠及時恢復系統(tǒng)和數(shù)據(jù)?？傊?，系統(tǒng)部署安全規(guī)范是確保系統(tǒng)安全的重要措施，應該在程序設計階段就考慮到安全問題，遵循安全標準和政策要求，定期進行安全評估和測試，及時修復發(fā)現(xiàn)的漏洞和弱點，保障系統(tǒng)的安全和可靠性。常用的存儲應用程序配置數(shù)據(jù)的方法包括基于文本的配置文件、注冊表和數(shù)據(jù)庫。但應盡可能避免在應用程序的Web空間使用配置文件，以避免可能的服務器配置漏洞。無論使用哪種方法，都應確保配置存儲訪問的安全，如使用WindowsACL或數(shù)據(jù)庫權限。同時，還應避免以純文本形式存儲機密信息，如數(shù)據(jù)庫連接字符串或帳戶憑據(jù)。對于這些機密信息，應加密存儲，并限制對包含加密數(shù)據(jù)的注冊表項、文件或表的訪問權限。此外，應單獨分配管理特權。如果應用程序的配置管理功能所支持的功能性基于管理員角色而變化，則應考慮使用基于角色的授權策略為每個角色授權。例如，負責更新站點靜態(tài)內容的人員不必具有更改客戶信貸限額的權限。在應用程序配置中，應用程序進程帳戶和服務帳戶是