WEB應(yīng)用系統(tǒng)安全規(guī)范

WEB應(yīng)用系統(tǒng)安全規(guī)范1.概述1.1目的本規(guī)范旨在確保Web應(yīng)用系統(tǒng)的安全性，防止?jié)撛诘陌踩{和攻擊，保護用戶信息和企業(yè)數(shù)據(jù)的安全。1.2適用范圍本規(guī)范適用于所有Web應(yīng)用系統(tǒng)的開發(fā)、維護和管理，包括但不限于企業(yè)內(nèi)部應(yīng)用系統(tǒng)、公共服務(wù)平臺、電子商務(wù)網(wǎng)站等。2.范圍本規(guī)范涵蓋了Web應(yīng)用系統(tǒng)的安全規(guī)范，包括Web應(yīng)用程序的體系結(jié)構(gòu)和安全、Web安全編碼規(guī)范等方面。3.名詞解釋本規(guī)范中涉及到的名詞解釋如下：-Web應(yīng)用系統(tǒng)：指基于Web技術(shù)開發(fā)的應(yīng)用系統(tǒng)，包括前端用戶界面和后端服務(wù)接口。-安全威脅：指可能導(dǎo)致Web應(yīng)用系統(tǒng)遭受攻擊或數(shù)據(jù)泄露的潛在威脅。-攻擊：指利用漏洞或弱點對Web應(yīng)用系統(tǒng)進行非法訪問或操作的行為。-用戶信息：指用戶在Web應(yīng)用系統(tǒng)中提供的個人信息，包括但不限于用戶名、密碼、手機號碼、電子郵箱等。-企業(yè)數(shù)據(jù)：指企業(yè)在Web應(yīng)用系統(tǒng)中存儲和處理的數(shù)據(jù)，包括但不限于客戶信息、訂單信息、財務(wù)信息等。4.Web開發(fā)安全規(guī)范4.1Web應(yīng)用程序體系結(jié)構(gòu)和安全Web應(yīng)用程序的體系結(jié)構(gòu)應(yīng)該采用分層架構(gòu)，將用戶界面、業(yè)務(wù)邏輯和數(shù)據(jù)訪問層分離，確保系統(tǒng)的可擴展性和安全性。4.2Web安全編碼規(guī)范4.2.1區(qū)分公共區(qū)域和受限區(qū)域Web應(yīng)用系統(tǒng)應(yīng)該將公共區(qū)域和受限區(qū)域進行區(qū)分，確保敏感信息只在受限區(qū)域內(nèi)進行傳輸和處理。4.2.2對身份驗證cookie的內(nèi)容進行加密Web應(yīng)用系統(tǒng)應(yīng)該對身份驗證cookie的內(nèi)容進行加密，防止攻擊者通過竊取cookie來冒充用戶身份。4.2.3限制會話壽命Web應(yīng)用系統(tǒng)應(yīng)該限制會話的壽命，確保用戶在長時間未操作時自動退出系統(tǒng)，避免會話劫持。4.2.4使用SSL保護會話身份驗證CookieWeb應(yīng)用系統(tǒng)應(yīng)該使用SSL保護會話身份驗證Cookie，確保傳輸過程中的安全性。4.2.5確保用戶沒有繞過檢查Web應(yīng)用系統(tǒng)應(yīng)該確保用戶沒有繞過檢查，防止攻擊者通過繞過檢查來進行非法操作。4.2.6驗證從客戶端發(fā)送的所有數(shù)據(jù)Web應(yīng)用系統(tǒng)應(yīng)該驗證從客戶端發(fā)送的所有數(shù)據(jù)，確保數(shù)據(jù)的合法性和安全性。4.2.7不要向客戶端泄漏信息Web應(yīng)用系統(tǒng)應(yīng)該避免向客戶端泄漏敏感信息，防止攻擊者通過獲取信息來進行攻擊。4.2.8記錄詳細的錯誤信息Web應(yīng)用系統(tǒng)應(yīng)該記錄詳細的錯誤信息，便于開發(fā)人員進行問題排查和修復(fù)。4.2.9捕捉異常Web應(yīng)用系統(tǒng)應(yīng)該捕捉異常，防止系統(tǒng)崩潰或數(shù)據(jù)丟失。4.2.10不要信任HTTP頭信息Web應(yīng)用系統(tǒng)應(yīng)該避免信任HTTP頭信息，防止攻擊者通過偽造HTTP頭信息來進行攻擊。4.2.11不要使用HTTP-GET協(xié)議傳遞敏感數(shù)據(jù)Web應(yīng)用系統(tǒng)應(yīng)該避免使用HTTP-GET協(xié)議傳遞敏感數(shù)據(jù)，防止數(shù)據(jù)被攔截和竊取。4.2.12不要在永久性cookie中存儲敏感數(shù)據(jù)Web應(yīng)用系統(tǒng)應(yīng)該避免在永久性cookie中存儲敏感數(shù)據(jù)，防止攻擊者通過竊取cookie來獲取敏感數(shù)據(jù)。4.2.13對數(shù)據(jù)進行加密或確保通信通道的安全Web應(yīng)用系統(tǒng)應(yīng)該對數(shù)據(jù)進行加密或確保通信通道的安全，防止數(shù)據(jù)被竊取和篡改。4.2.14SQL語句的參數(shù)應(yīng)以變量形式傳入Web應(yīng)用系統(tǒng)應(yīng)該將SQL語句的參數(shù)以變量形式傳入，防止SQL注入攻擊。4.2.15頁面中的非源代碼內(nèi)容應(yīng)經(jīng)過URI編碼Web應(yīng)用系統(tǒng)應(yīng)該將頁面中的非源代碼內(nèi)容經(jīng)過URI編碼，防止攻擊者通過注入腳本來進行攻擊。4.2.16頁面中拼裝的腳本應(yīng)校驗元素來源的合法性Web應(yīng)用系統(tǒng)應(yīng)該校驗頁面中拼裝的腳本的元素來源的合法性，防止攻擊者通過注入腳本來進行攻擊。密碼加密存儲、隱藏重要配置參數(shù)信息和隱藏日志文件是常見的安全措施。同時，禁用不需要的HTTP方法和WebDAV功能也能提高系統(tǒng)的安全性。為了保證管理平臺和測試賬號的安全，應(yīng)該采用強口令。此外，還應(yīng)該定期核查文件上傳路徑和日志路徑，防止木馬入侵。及時刪除臨時文件也是必要的安全措施。對于重要系統(tǒng)，應(yīng)該采取隔離措施，確保安全性。安全審計也是必要的，包括審核并記錄跨應(yīng)用層的訪問、標識流、記錄關(guān)鍵事件、確保日志文件的安全、定期備份和分析日志文件等。規(guī)范的執(zhí)行和更新機制也是必要的安全措施。為了規(guī)范JavaWeb應(yīng)用編碼和部署的安全控制和管理，本規(guī)范適用于所有在線Java業(yè)務(wù)系統(tǒng)和測試系統(tǒng)的WEB應(yīng)用，并可作為其他非WEB應(yīng)用的編碼和部署安全辦法參考。本規(guī)范列出了常見安全措施和高風險的漏洞，對于未能盡述的必要安全措施，也應(yīng)該予以采用。本規(guī)范每年復(fù)審一次，其它時候也可以根據(jù)需要進行修訂并發(fā)布。本規(guī)范的解釋權(quán)和修改權(quán)歸屬信息技術(shù)部。在本規(guī)范中，驗證是指通訊實體彼此驗證以經(jīng)過訪問授權(quán)的特定標識為依據(jù)。資源的訪問控制是指資源的交互僅限于某些用戶或程序的集合，其目的是對完整性、保密性或可用性實施強制約束。數(shù)據(jù)完整性是指檢驗信息是否被第三方修改。機密性或數(shù)據(jù)隱私是指確保信息僅對經(jīng)過訪問授權(quán)的用戶可用。不可否認是指對用戶進行檢驗，讓他無法否認自己進行過的活動。記錄，以防止令牌被竊取。授權(quán)使用最小權(quán)限原則。將用戶分配到角色，而不是直接授予權(quán)限。使用多層次授權(quán)，以確保數(shù)據(jù)和操作的訪問控制。使用審批流程，以確保授權(quán)的合法性。配置管理將配置數(shù)據(jù)分離，以便在不影響應(yīng)用程序的情況下進行更改。使用安全的配置文件存儲和傳輸機制。限制對配置文件的訪問。敏感數(shù)據(jù)加密敏感數(shù)據(jù)，包括在傳輸和存儲中。使用加密算法和密鑰管理方案。確保加密強度和密鑰長度。會話管理使用安全的會話管理方案，包括隨機生成的會話標識符和會話超時。使用HTTPS連接傳輸會話標識符。不要在URL中傳遞會話標識符。確保會話數(shù)據(jù)的機密性和完整性。加密使用適當?shù)募用芩惴ê兔荑€長度。使用安全的密鑰管理方案。參數(shù)操作驗證和凈化所有輸入?yún)?shù)。使用參數(shù)化查詢來防止SQL注入攻擊。限制參數(shù)的長度、格式和范圍。異常管理記錄所有異常和錯誤。不要向用戶顯示詳細的錯誤信息。使用安全的日志記錄機制，并保護日志文件免受未經(jīng)授權(quán)的訪問。審核和記錄記錄所有安全相關(guān)事件，包括登錄和注銷，以及敏感數(shù)據(jù)的訪問。使用防篡改記錄來保護記錄的完整性。定期審查記錄，以便發(fā)現(xiàn)入侵跡象。Web應(yīng)用程序的安全設(shè)計是非常重要的，因為它可以幫助我們評估安全策略和機制的有效性。要確保Web應(yīng)用程序的安全性，我們需要考慮身份驗證和會話管理機制的安全性，以及防止參數(shù)操作和敏感數(shù)據(jù)泄漏等問題。此外，我們還需要注意應(yīng)用程序漏洞類別，如輸入驗證、身份驗證、授權(quán)、配置管理、敏感數(shù)據(jù)、會話管理、加密、參數(shù)操作和異常管理。為了避免安全漏洞，我們需要采取措施來規(guī)范輸入驗證、身份驗證、授權(quán)、配置管理、敏感數(shù)據(jù)、會話管理、加密、參數(shù)操作和異常管理，并記錄所有安全相關(guān)事件。并限制其壽命。在受限區(qū)域，只允許特定用戶訪問，且必須通過身份驗證。對于一個零售網(wǎng)站，匿名訪問產(chǎn)品分類，但添加到購物車時需要驗證身份。下訂單時，需要登錄并通過SSL進行安全交易。站點的不同區(qū)域應(yīng)使用不同的身份驗證和授權(quán)規(guī)則，以限制對SSL的使用，避免不必要的性能下降。為了保護敏感數(shù)據(jù)，應(yīng)該使用加密和強訪問控制。不要在永久性cookie中存儲敏感數(shù)據(jù)，避免使用HTTP-GET協(xié)議傳遞敏感數(shù)據(jù)。同時，應(yīng)限制會話壽命并對身份驗證cookie的內(nèi)容進行加密。對于加密算法，應(yīng)使用可靠并經(jīng)過測試的平臺功能，避免自創(chuàng)算法，使用正確的算法和密鑰大小，定期回收密鑰并在受限區(qū)域存儲密鑰。在應(yīng)用程序中，應(yīng)使用最少特權(quán)帳戶和進程，實施分別授權(quán)，限制用戶訪問系統(tǒng)級資源。不要以純文本形式存儲憑據(jù)，使用強身份驗證和授權(quán)，并避免在Web空間中存儲敏感數(shù)據(jù)。在遠程管理時，要確保通信通道的安全，驗證從客戶端發(fā)送的所有數(shù)據(jù)，并使用結(jié)構(gòu)化的異常處理機制，避免泄漏敏感的應(yīng)用程序?qū)嵤┘毠?jié)和記錄保密數(shù)據(jù)。最后，應(yīng)該識別懷有惡意的行為，了解好的數(shù)據(jù)流應(yīng)該是什么樣子，并在所有應(yīng)用層中審核和記錄活動。定期備份和分析日志文件，確保日志文件訪問的安全。使用Web安全編碼規(guī)范，并區(qū)分公共區(qū)域和受限區(qū)域，以保護站點和用戶的安全。即使使用SSL，也應(yīng)該對cookie內(nèi)容進行加密，以防止XSS攻擊。攻擊者可以嘗試竊取cookie，但加密后的cookie內(nèi)容可以防止他們查看和修改。雖然攻擊者仍然可以使用cookie訪問應(yīng)用程序，但只有在cookie有效期內(nèi)才能成功訪問?？s短會話壽命可以減少會話劫持和重復(fù)攻擊的風險。會話壽命越短，攻擊者捕獲會話cookie并利用它訪問應(yīng)用程序的時間越有限。使用SSL保護會話身份驗證cookie，不要通過HTTP連接傳遞身份驗證cookie。在授權(quán)cookie內(nèi)設(shè)置安全的cookie屬性，以便指示瀏覽器只通過HTTPS連接向服務(wù)器傳回cookie。確保用戶沒有通過操作參數(shù)繞過檢查。最終用戶可以通過瀏覽器地址欄操作URL參數(shù)，因此應(yīng)該在服務(wù)器端代碼中執(zhí)行檢查，而不是在客戶端的JavaScript中檢查。限制可接受用戶輸入的字段，并對來自客戶端的所有值進行修改和驗證。只接受已知的有益數(shù)據(jù)，例如，如果輸入字段面向一個州，那么只有與該州郵政編碼匹配的輸入才能被接受。在發(fā)生故障時，不要暴露將會導(dǎo)致信息泄漏的消息。應(yīng)向客戶端返回一般性錯誤消息，而不是包括函數(shù)名以及調(diào)試內(nèi)部版本時出問題的行數(shù)的堆棧跟蹤詳細信息。向錯誤日志發(fā)送詳細的錯誤消息。應(yīng)該向服務(wù)或應(yīng)用程序的客戶發(fā)送最少量的信息，如一般性錯誤消息和自定義錯誤日志ID，隨后可以將這些信息映射到事件日志中的詳細消息。確保沒有記錄密碼或其他敏感數(shù)據(jù)。使用結(jié)構(gòu)化異常處理機制，并捕捉異?，F(xiàn)象。這可以避免將應(yīng)用程序置于不協(xié)調(diào)的狀態(tài)，這種狀態(tài)可能會導(dǎo)致信息泄漏。確定如何在應(yīng)用程序內(nèi)部廣播異?，F(xiàn)象，并著重考慮在應(yīng)用程序的邊界會發(fā)生什么事情。不要信任HTTP頭信息。HTTP頭在HTTP請求和響應(yīng)開始時發(fā)送。為了保證Web應(yīng)用程序的安全性，不應(yīng)該基于HTTP頭中包含的信息做出任何安全決策。攻擊者很容易操作HTTP頭，例如，HTTP頭中的“referer”字段包含發(fā)出請求的網(wǎng)頁的URL。因此，不應(yīng)該基于“referer”字段值來檢查發(fā)出請求的頁面是否由該Web應(yīng)用程序生成，因為該字段很容易偽造。為了保護敏感數(shù)據(jù)的安全，應(yīng)避免使用HTTP-GET協(xié)議存儲敏感數(shù)據(jù)。因為該協(xié)議使用查詢字符串傳遞數(shù)據(jù)，而查詢字符串經(jīng)常被服務(wù)器記錄下來。如果敏感數(shù)據(jù)被記錄到查詢字符串中，那么這些數(shù)據(jù)就可能被竊取。因此，應(yīng)該使用其他協(xié)議來存儲敏感數(shù)據(jù)。同樣地，避免在永久性cookie中存儲敏感數(shù)據(jù)，因為如果存儲的是純文本數(shù)據(jù)，最終用戶能夠看到并修改該數(shù)據(jù)。如果對其加密，則必須考慮密鑰管理。例如，如果用于加密cookie中的數(shù)據(jù)的密鑰已過期且已被回收，則新密鑰不能對客戶端通過瀏覽器傳遞的永久性cookie進行解密。如果在網(wǎng)絡(luò)上向客戶端發(fā)送敏感數(shù)據(jù)，應(yīng)對數(shù)據(jù)進行加密或確保通信通道的安全。通常的做法是在客戶端與Web服務(wù)器之間使用SSL。服務(wù)器間的通信通常使用IPSec。要確保通過多重中間件傳輸?shù)拿舾袛?shù)據(jù)的安全性，如Web服務(wù)簡單對象訪問協(xié)議(SOAP)消息，應(yīng)使用消息級加密。在對數(shù)據(jù)庫進行查詢與各類操作時，SQL語句中的參數(shù)應(yīng)以變量形式傳輸給服務(wù)器，不應(yīng)直接將參數(shù)的值拼接到SQL語句的文本中。參數(shù)的類型包括所有數(shù)據(jù)類型，而不僅是字符串類型。參數(shù)值的來源包括但不限于：用戶輸入的數(shù)據(jù)、從數(shù)據(jù)庫中讀出的數(shù)據(jù)、從配置文件中讀出的數(shù)據(jù)、從外部系統(tǒng)中獲得的數(shù)據(jù)、其它程序邏輯計算得出的數(shù)據(jù)，等等。SQL語句的執(zhí)行位置包括但不限于：代碼中的SQL語句，數(shù)據(jù)庫的存儲過程、觸發(fā)器、定時器等。應(yīng)用程序在處理用戶非法URL請求，觸發(fā)后臺應(yīng)用程序的SQL錯誤時，應(yīng)返回處理后的錯誤頁面提示，禁止直接拋出數(shù)據(jù)庫SQL錯誤，如出現(xiàn)ORA-xxx等等。頁面中的非源代碼內(nèi)容應(yīng)經(jīng)過URI編碼，以避免特殊字符直接出現(xiàn)在頁面中。應(yīng)當按照安全規(guī)范進行配置和部署。網(wǎng)絡(luò)設(shè)備、服務(wù)器和應(yīng)用程序等組件應(yīng)該經(jīng)過安全評估和審計，以確保其符合安全標準和政策要求。同時，應(yīng)該定期對這些組件進行漏洞掃描和安全測試，及時修復(fù)發(fā)現(xiàn)的漏洞和弱點。數(shù)據(jù)加密和訪問控制在程序設(shè)計中，應(yīng)考慮對重要數(shù)據(jù)進行加密，確保數(shù)據(jù)在傳輸和存儲過程中的安全性。同時，應(yīng)該對系統(tǒng)中的用戶和角色進行訪問控制，限制用戶的權(quán)限和訪問范圍，防止惡意用戶的攻擊和數(shù)據(jù)泄露。日志記錄和監(jiān)控應(yīng)該對系統(tǒng)中的操作和事件進行日志記錄和監(jiān)控，以便于及時發(fā)現(xiàn)和應(yīng)對安全事件。同時，應(yīng)該定期對日志進行分析和審計，及時發(fā)現(xiàn)異常事件和行為，防止?jié)撛诘陌踩{。備份和恢復(fù)應(yīng)該定期對系統(tǒng)數(shù)據(jù)進行備份，并存儲在安全可靠的位置。同時，應(yīng)該測試備份和恢復(fù)過程，以確保備份數(shù)據(jù)的完整性和可用性。在發(fā)生安全事件或數(shù)據(jù)丟失時，能夠及時恢復(fù)系統(tǒng)和數(shù)據(jù)?？傊?，系統(tǒng)部署安全規(guī)范是確保系統(tǒng)安全的重要措施，應(yīng)該在程序設(shè)計階段就考慮到安全問題，遵循安全標準和政策要求，定期進行安全評估和測試，及時修復(fù)發(fā)現(xiàn)的漏洞和弱點，保障系統(tǒng)的安全和可靠性。常用的存儲應(yīng)用程序配置數(shù)據(jù)的方法包括基于文本的配置文件、注冊表和數(shù)據(jù)庫。但應(yīng)盡可能避免在應(yīng)用程序的Web空間使用配置文件，以避免可能的服務(wù)器配置漏洞。無論使用哪種方法，都應(yīng)確保配置存儲訪問的安全，如使用WindowsACL或數(shù)據(jù)庫權(quán)限。同時，還應(yīng)避免以純文本形式存儲機密信息，如數(shù)據(jù)庫連接字符串或帳戶憑據(jù)。對于這些機密信息，應(yīng)加密存儲，并限制對包含加密數(shù)據(jù)的注冊表項、文件或表的訪問權(quán)限。此外，應(yīng)單獨分配管理特權(quán)。如果應(yīng)用程序的配置管理功能所支持的功能性基于管理員角色而變化，則應(yīng)考慮使用基于角色的授權(quán)策略為每個角色授權(quán)。例如，負責更新站點靜態(tài)內(nèi)容的人員不必具有更改客戶信貸限額的權(quán)限。在應(yīng)用程序配置中，應(yīng)用程序進程帳戶和服務(wù)帳戶是