JavaWeb安全開發(fā)規(guī)范

1、廣州軟通動力信息技術(shù)有限公司JavaWeb安全開發(fā)規(guī)范?SoftStone?SoftStone廣州軟通動力信息技術(shù)有限公司1.目的保障WEB應(yīng)用平臺的安全性，保證WEB應(yīng)用系統(tǒng)的可用性、完整性和保密性從安全角度規(guī)范WEB應(yīng)用系統(tǒng)開發(fā)人員，能夠讓W(xué)EB應(yīng)用開發(fā)者樹立很強(qiáng)的安全意識，在開發(fā)過程中編寫安全代碼，進(jìn)行安全編程。2.范圍本規(guī)范從應(yīng)用安全開發(fā)角度出發(fā)，給出WEB應(yīng)用系統(tǒng)安全開發(fā)的規(guī)范。供軟通動力內(nèi)部使用，適用各個WEB應(yīng)用系統(tǒng)項目開發(fā)的工作。本規(guī)范定義了WEB應(yīng)用系統(tǒng)安全開發(fā)和WEB編碼安全相關(guān)的技術(shù)要求。規(guī)范概述WEB應(yīng)用系統(tǒng)為架構(gòu)設(shè)計人員、開發(fā)人員提出了一系列復(fù)雜的安全問題。最安全、最

2、有能力抵御攻擊的Web應(yīng)用程序是那些應(yīng)用安全思想構(gòu)建的應(yīng)用程序。在設(shè)計初始階段，應(yīng)該使用可靠的安全體系結(jié)構(gòu)和設(shè)計方法，同時要結(jié)合考慮應(yīng)用程序的部署以及企業(yè)的安全策略。如果不能做到這一點，將導(dǎo)致在現(xiàn)有基礎(chǔ)結(jié)構(gòu)上部署應(yīng)用程序時，要不可避免地危及網(wǎng)站系統(tǒng)的安全性。本規(guī)范提供初步的安全體系結(jié)構(gòu)和設(shè)計指南，并按照常見的應(yīng)用程序漏洞類別進(jìn)行組織。這些指南是WEB應(yīng)用程序安全的重要方面，并且是經(jīng)常發(fā)生錯誤的領(lǐng)域。安全編碼原則程序只實現(xiàn)你指定的功能永不要信任用戶輸入，對用戶輸入數(shù)據(jù)有效性檢查必須考慮意外情況并進(jìn)行處理不要試圖在發(fā)現(xiàn)錯誤之后繼續(xù)執(zhí)行盡可能使用安全函數(shù)進(jìn)行編程小心、認(rèn)真、細(xì)致地編程軟件編碼安全51

3、輸入校驗WEB應(yīng)用程序從各個方面獲取輸入，例如所有用戶發(fā)送的，或者Web應(yīng)用程序與用戶交互往返的數(shù)據(jù)（用戶提交的數(shù)據(jù)，cookie信息，查詢字符串參數(shù)），以及后臺數(shù)據(jù)（數(shù)據(jù)庫、配置文件、其他數(shù)據(jù)來源）。所有輸入的數(shù)據(jù)都會在某種情況下影響請求的處理。正確的輸入驗證是防御目前應(yīng)用程序攻擊的最有效方法之一。正確的輸入驗證是防止XSS、SQL注入、緩沖區(qū)溢出和其他輸入攻擊的有效對策。以下做法可以增強(qiáng)Web應(yīng)用程序的輸入驗證：假定所有輸入都是惡意的開始輸入校驗時，首先假定所有輸入都是惡意的，除非有證據(jù)表明它們并無惡意，無論輸入是來自服務(wù)、共享文件、用戶還是數(shù)據(jù)庫，只有其來源不在可信任的范圍之內(nèi)，就應(yīng)對輸

4、入進(jìn)行驗證。A集中方法將輸入驗證策略作為應(yīng)用程序的核心元素。考慮集中式驗證方法，例如通過使用共享庫中的公共驗證和篩選代碼。這確保驗證規(guī)則應(yīng)用的一致性。此外還能減少開發(fā)工作量，并且有助于以后的維護(hù)工作。不要依賴客戶端驗證應(yīng)使用服務(wù)器端代碼執(zhí)行其自身的驗證，如果攻擊者繞過客戶端或者禁用客戶端JavaScript腳本，后果如何？使用客戶端驗證可以減少客戶端到服務(wù)器端的往返次數(shù)，但是不要依賴這種方法進(jìn)行安全驗證。注意標(biāo)準(zhǔn)化問題數(shù)據(jù)的標(biāo)準(zhǔn)形式是最標(biāo)準(zhǔn)、最簡單的形式。標(biāo)準(zhǔn)化是指將數(shù)據(jù)轉(zhuǎn)化為標(biāo)準(zhǔn)形式的過程。文件路徑和URL尤其傾向于標(biāo)準(zhǔn)化問題。例如/www/public/testfile.jsp/www/p

5、ublic/./public/testfile.jsp/www/public/testfile.jsp%2fwww%2fpublic%2f%2f%2ftestfile.jsp都表示同一個文件。通常，應(yīng)設(shè)法避免讓應(yīng)用程序接受用戶輸入的文件名，以防止標(biāo)準(zhǔn)化問題?？梢钥紤]其他方式，例如由應(yīng)用程序為用戶確定文件名。如果確實需要用戶輸入文件名，在作出安全決策（如授予或拒絕特定文件的訪問權(quán)限）之前應(yīng)確保這些文件名具有嚴(yán)格定義的形式。限制輸入定義應(yīng)用程序字段可以接受的數(shù)據(jù)輸入，并強(qiáng)制應(yīng)用該定義，拒絕一切有害數(shù)據(jù)。驗證數(shù)據(jù)的類型、長度、格式和范圍在適當(dāng)?shù)牡胤綄斎霐?shù)據(jù)使用強(qiáng)類型檢查，可以使用參數(shù)化的存儲過程來

6、訪問數(shù)據(jù)。應(yīng)該檢查字符串字段的長度，在許多情況下還應(yīng)檢查字符串的格式是否正確，例如郵政編碼、手機(jī)號碼、身份證號碼等都具有明確定義的格式，可以使用常規(guī)表達(dá)式進(jìn)行驗證。長度檢查會加大攻擊者實施其所喜歡的攻擊方式的難度。拒絕已知的有害輸入例如查詢條件中禁止輸入or1=1等。凈化輸入凈化包括從刪除用戶輸入字符串后面的空格到去除值等一切行為。常見的凈化輸入示例是使用URL編碼或者HTML編碼來包裝數(shù)據(jù)，并將其作為文本而不是可執(zhí)行腳本來處理。5.2輸出編碼輸出編碼是轉(zhuǎn)換輸入數(shù)據(jù)為輸出格式的過程。輸出格式不包含或者只是有選擇性的包含允許的特殊字符。輸出的重量有：1）支持HTML代碼的輸出2）不支持HTML代

7、碼的輸出3）URL的輸出4）頁面內(nèi)容的輸入5）Js腳本的輸出6）Style樣式的輸出7）Xml數(shù)據(jù)的輸出8）服務(wù)空間的輸出輸出編碼能有效的防止HTML注入（跨站腳本XSS攻擊）等，也能確保輸出內(nèi)容的完整性和正確性。對于支持HTML代碼的輸出，輸出前要確保代碼中不含有跨站攻擊腳本才能輸出。通過編寫過濾函數(shù)來進(jìn)行強(qiáng)制過濾。對于不支持HTML代碼的輸出，在輸出到頁面前要進(jìn)行HTML編碼。對于URL的輸出要對URL進(jìn)行UrlEncode處理，要確保URL編碼正確，不允許URL中輸出引號。要確保內(nèi)容輸出中不包含特殊符號（單引號、雙引號、/、等）。5.3.SQL注入所謂SQL注入就是通過把SQL命令插入到

8、Web表單提交到頁面的查詢字符串，最終達(dá)到欺騙服務(wù)器執(zhí)行惡意的SQL命令。通過提交參數(shù)構(gòu)造巧妙的SQL語句，從而成功獲取想要的數(shù)據(jù)。SQL注入往往是應(yīng)用程序缺少對輸入進(jìn)行安全性檢查所引起的。在對數(shù)據(jù)庫進(jìn)行查詢與各類操作時，SQL語句中的參數(shù)應(yīng)該以變量形式傳輸給服務(wù)器,不應(yīng)該直接將參數(shù)的值拼接到SQL語句的文本中。參數(shù)的類型包括所有的數(shù)據(jù)類型，而不僅是字符串類型。參數(shù)值的來源包括但不限于：用戶輸入的數(shù)據(jù)、從數(shù)據(jù)庫中讀取的數(shù)據(jù)、從配置文件中讀取的數(shù)據(jù)、從外部系統(tǒng)中獲取的數(shù)據(jù)、其他程序邏輯計算得出的數(shù)據(jù)等等。SQL語句的執(zhí)行位置包括但不限于：代碼中的SQL語句，數(shù)據(jù)庫的存儲過程、觸發(fā)器、定時器等。應(yīng)

9、用程序在處理用戶非法請求觸發(fā)后臺應(yīng)用程序的SQL錯誤時，應(yīng)返回處理后的錯誤頁面提示，禁止直接拋出數(shù)據(jù)庫SQL錯誤，如出現(xiàn)ORA-xxxxxx等。54惡意文件執(zhí)行惡意文件執(zhí)行是一種能夠威脅任何網(wǎng)站形式的漏洞，只要攻擊者在具有引入功能程序的參數(shù)中修改參數(shù)內(nèi)容,WEB服務(wù)器便會引入惡意程序內(nèi)容從而受到惡意文件執(zhí)行漏洞攻擊。攻擊者可以利用惡意文件執(zhí)行漏洞進(jìn)行攻擊取得WEB服務(wù)器控制權(quán)，進(jìn)行不法利益或者獲取經(jīng)濟(jì)效益。解決方法：輸入驗證，驗證上傳文件名；檢查上傳文件類型和文件大小；禁止上傳危險的文件類型（如:.jsp;.exe;.sh;.war;.jar等），只接受指定類型的文件（如zip、圖片等）。55

10、不安全的直接對象引用所謂不安全的直接對象引用”意指一個已經(jīng)授權(quán)的用戶，通過修改訪問時的一個參數(shù)，從而訪問到原本其并沒有得到授權(quán)的對象。例如攻擊者發(fā)現(xiàn)他自己的參數(shù)是6065,即?acct=6065；他可以直接更改參數(shù)為6066,即?acct=6006；這樣他就可以直接看到6066用戶的信息。解決方法：檢查訪問。來自不受信源所使用的所有直接對象引用都必須包含訪問控制檢測，這樣才能確保用戶對要求的對象有訪問權(quán)限。56信息泄露和錯誤處理不當(dāng)應(yīng)用程序常常產(chǎn)生錯誤信息并顯示給使用者。很多時候錯誤信息是非常有用的攻擊，因為它們揭示了實施細(xì)則或者有用的開發(fā)信息利用的漏洞。解決方法針對登陸嘗試的攻擊，可以使用相

11、同的報錯提醒，比如“輸入的用戶名或者密碼錯誤”通過配置web.xml指定異常時跳轉(zhuǎn)的頁面，禁止直接顯示異常信息堆棧。57限制URL訪問失效攻擊者通過偽造請求路徑直接訪問未授權(quán)的頁面。例如攻擊者發(fā)現(xiàn)自己的訪問頁面/user/getAccounts；他通過修改URL的形式請求/admin/getAccounts或者/manger/getAccounts來訪問更多用戶信息。解決方法：針對每個不公開的URL,必須限制能夠訪問他的授權(quán)用戶，加強(qiáng)基于用戶或者角色的訪問控制;完全禁止訪問未被授權(quán)的頁面類型（如配置文件、日志文件、源文件等）；確保每個URL都被外部過濾器或者其他機(jī)制保護(hù)。系統(tǒng)部署安全61限制主

12、機(jī)上WEB系統(tǒng)啟動用戶的權(quán)限應(yīng)將WEB系統(tǒng)的啟動用戶的權(quán)限限制在最小范圍內(nèi)，禁止該用戶訪問其它不必要的路廣州軟通動力信息技術(shù)有限公司fSOFTSTONE廣州軟通動力信息技術(shù)有限公司徑（如：/etc/、/root）62隱藏后臺調(diào)試信息WEB系統(tǒng)、數(shù)據(jù)庫等報告的異常信息、調(diào)試信息不應(yīng)該出現(xiàn)在頁面上。63密碼加密存儲WEB系統(tǒng)中存儲的密碼應(yīng)采用一定的加密算法，以密文形式存放。此處所指的密碼包括但不限于：配置文件中的主機(jī)、網(wǎng)絡(luò)、數(shù)據(jù)庫、郵箱的密碼；數(shù)據(jù)庫中的用戶資料密碼加密算法的選擇應(yīng)根據(jù)實際需要，首選不對稱加密算法，次選破解難度高的對稱加密算法。64隱藏重要配置參數(shù)信息對于重要的配置參數(shù)信息，應(yīng)采用必要的隱藏措施。此處所指的配置參數(shù)包括但不限于:重要的用戶名、密碼；重要設(shè)備的內(nèi)網(wǎng)地址（如：數(shù)據(jù)庫、存儲設(shè)備）65隱藏日志文件不應(yīng)將日志文件的路徑設(shè)置在頁面可達(dá)的位置,用戶通過頁面應(yīng)該無法訪問到系統(tǒng)產(chǎn)生的日志文件。66禁止不需要的HTTP方法在無特定的需求情況下，應(yīng)只開放GET,HEAD,POST等安全的HTT