安全管理制度}华为应用系统安全规范.docx

《安全管理制度}华为应用系统安全规范.docx》由会员分享，可在线阅读，更多相关《安全管理制度}华为应用系统安全规范.docx（29页珍藏版）》请在第一文库网上搜索。

1、号主要起翰门专家主要评审部门导临兄51591何伟祥33428刘高峰63564 ,龚连阳3 ,许汝波62966 ,吴君羽5 ,王欢2 ,吕晓雨56987VI .2增加了 WebService、Ajax和上传和卜载相关的安全规范。何伟祥2VI .3增加了防止会话固定和防止跨站请求伪造的安全规范。何伟祥2VI .4增加了 规则3 .4 .1的实施指导；删除了 建议 3 .4 .r ;修改了 6酉虚CBB介绍的内容和获取方式。增加了3.9DWR何伟祥2吴淑荣0魏建雄6谢和坤9李田1孙波9朱双红9雌。VI .5增加规则3.3.9、规则3.6.5、规则4.7.1、建议 4.7.2、4.8PHP增加3.8R

2、ESTfulWebService,z修改规则322.8、规则3.2.23、规则3.4.1、规则 4 .6 .1删除3.2.1 口令策略和规则3.1.3、规则3.23.8、规则4 .7 .1附件文档作为对象直接插入主文档目录 TableofContentsL1背景简介71.2 技术框架81.3 使用对象91.4 适用范围91.5 用词约定92常见WEB安全漏同103WEBSvtJggll3 .IWeb吾曙要求113.2身份验证123.2.1 口令 12322认证123.2.33佥证码153.3 会话管理163.4 权限管理173.5 敏感数据保护183.5.1 敏感数据定义18352敏感数据存储

3、18353敏感数据传输203.6 安全审计213.7 .7Web Service223.8 .8RESTfl Web Service233.9 DWR244.1 输入校验254.2 输出编码304.3 上传下载304.4 异常处理314.5 代码注释314.6 归档要求324.7 其他3 34.8 PHP346S施湖介绍376.1 WAF CBB376.2 蜒码 CBB387.1 附件 1 Tomcat配SSL指导 387.2 附件2 Web Service安全接入开发指导387.3 附件3客户端IP鉴权实施指导387.4 附件4 口令安全要求387.5 附件5 WE啾限管理设计规格说明书39

4、Web应用安全开发规范VI .51概述1.1 背景简介在Internet大众化及Web技术飞速演变的今天，Web安全所面临的拟娥日益严峻。黑客攻击技术越来越成耨口大众化，针对Web的攻击K坏不断增长,Web安全风险达到了前所未有的高度。许多程序员不知道如何开发安全的应用程序，开发出来的Web应用存在较多的安全漏洞,这些安全漏洞一旦被黑客利用将导致严重甚至是灾难性的后果。这并非危言耸听，类似的网上事故举不胜举，公司的Web产品也曾多次遭黑客攻击，甚至有黑客利用公司Web产品的漏洞敲诈运营商，造成极其恶劣的影响。本撼就是提f共一完善的、系统化实用的Web安全开发方法供Web研发人员使用,UJfKW

5、eb 勺目的。Wi刨g内容：WebW、 Web酉覆安全，酉虚CBB ,多管齐下，实现Web应用的整体安全性；本规范主要以JSP/Java编程语言为例。1.2 技术框架图1典型的Web安全技术陵图1显示了典型的Web安全的技术框架和安全技术点，这些安全技术点，贯穿整个Web设计开发过程。上图各个区域中存在任何一点薄弱环节，都容易导致安全漏洞。安全审计未能识别入侵征兆、无法证明用户的操作,以及在问题诊断中存在困难。输入检验通过嵌入查询字符串、窗体字段、Ckie和HTTP标头中的恶意字符串所执行的攻击。包括命令执行、跨站点脚本编写（XSS）、SQL注入和缓冲区溢出攻击等。参数操作路径遍历攻击、命令执

6、行、此外还有跳过访问控制机制、导致信息泄露、权限提升和拒绝服务。异常管理拒绝服务和敏感的系统级详细信息泄露。1.3 使用对象本规范的读者及使用对象主要为Web相关的需求分析人员、设计人员、开发人员、测试人员等。1.4 适用范围械范的制定考虑了公司各种Web应用开发的共性,适合于公司绝大部分Web产品,要求Web产品开发必须遵循。对于嵌入式系统仅口 ADSLModem、硬件防火墙）中的Web应用，由于其瞬4（ CPU、内存、磁盘容量有限，没有成熟的Web容器）,不强制遵循本规范的所有内容，只需遵循以下章节的规则要求：3.2 身份验证3.3 会话管理3.5 敏感数据保护4.1 输入校验4.2 输出

7、编码4.3 上传下载4.5 代码注释4.6 归档要求1.5用词约定。规则：强制必须遵守的原则表2十大Web应麻辨安全漏洞表漏河g称漏翩述1注入攻击漏洞，例如SQL、OS命令以及LDAP注入。这些攻击发生在当不可信的数据作为命令或者查询语句的一部分，被发送给解释器的时候。攻击者发送的恶意数据可以欺骗解释器，以执行计划外的命令或者访问未被授权的数据。2跨站脚本当应用程序收到含有不可信的数据，在没有进行适当的验证和转义的情况下，就将它发送给一个网页浏览器,这就会产生跨站脚本攻击（简称XSS ）。XSS允许攻击者在受害者的浏览器上执行脚本，从而劫持用户会话、危害网站、或者将用户转向至恶意网站。3失效的

8、身份认证和会话管理与身份认证和会话管理相关的应用程序功能往往得不到正确的实现，这就导致了攻击者破坏密码、密匙、会话令牌或攻击其他的漏洞去冒充其他用户的身份。4不安全的对象引用当开发人员暴露一个对内音赎现对象的引用时，例如，一个文件、目录或者数据库密匙，就会产生一个不安全的直接对象引用。在没有访问控制检测领他保护时，攻击者会操控这些引用去访问未授权数据。5跨站请求伪造一个跨站请求伪造攻击迫使登录用户的浏览器将伪造的HTTP请求，包括该用户的会话cookie和其他认证信息，发送到T存在漏洞的Web应用程序。这就允许了攻击者迫使用户浏览器向存在漏洞的应用程序发送请求，而这些请求会被应用程序认为是用户

9、的合法请求。6安全配置错误好的安全需要对应用程序、框架、应用程序服务器、Web服务器、数据库服务器和平台，定义和执行安全配置。由于许多设置的默认值并不是安全的，因此，必须定义、实施和维护所有这些设置。这包括了对所有的软件保护及时地更新，说明：Web月员务器上俄容易被攻击，如果辘库或核心应用与Web服务器部署在同一台主机,一旦Web服务器被攻陷,那么辘库和核心应用也就被攻击者掌控了。规则3.1.3 : Web站点的根目录必须安装在非系统卷中。说明：Web站点根目录安装国E系统卷，如单独创建T目录Web作为Web站点根目录,能够防止攻击者使用目录遍历攻击访问系统工具和可执行文件。建议3.1.1 :

10、 Web服务器与应用服务器需物理分离（即安装在不同的主机上），以提高应用的安全性。士议3.1.2 :如果Web应用系统存在不同的访问等级（如个人帐号使用、客户服务、管理）力陷应该通过不同的Web服务器来处I鳏自不同访问等级的请求，而且Web应用应该鉴请求是否来自正确的Web服务器。说明：这样便于通过防火墙的访问控制策略和Web应用来控制不同访问等级的访问，比如通过防火墙策略控制，只允许内网访问管理Portal o建议3.13 :对于客户服务和管理类的访问,除了普通的认证，还应该增加额外的访问限制。说明：额舶勺访问限制，可以限制请求来自企业内网,可以建立VPN ,或采用双向认证的SSL ;或采用

11、更简单的办法,通过IP地址白名单对客户端的IP地址进行过滤判断,实施参考附件3客户端IP鉴权实施指导。3.2身份验证3.2.1 口令关于Web应用及容器涉及到的口令,请遵循产品网络安全红线的口令安全要求（详细内容请见：附件4 口令安全要求.xlsK3.2.2 认证规则3.2.2.1 :对用户的最终认证处理过程必须放到应用服务器进行。说明：不允许仅仅通过脚本或其他形式在客户端进行验证，必须在应用服务器进行最终认证处理（如果采用集中认证，那么对用户的最终认证就是放在集中认证服务器进行）。规则3.2.2.2 :网页上的登录/认证表单必须加入验证码。说明：使用验证码的目的是为了阻止攻击者使用自动登录工

12、具连续尝试登录，从而降低被暴力破解的可能。如果觉得验证码影响用户体验，那么可以在前3次登录尝试中不使用验证码,3次登录失败后必须使用验证码。验证码在设计上必须要考虑到一些安全因素，以免能被轻易地破解。具体实现细节请查看323验证码。如图：图2验证码实施指导：建议使用电信软件与核心网网络安全工程部提供的验证码CBB o备注：对于嵌入式系统，如果实现验证码比较困难，可以通过多次认证失败锁定客户端IP的方式来防止暴力破解。规则3.2.23 :用户名、密码和验证码必须在同一个请求中提交给服务器，必须先判断验证说明：Web月员务器上俄容易被攻击，如果辘库或核心应用与Web服务器部署在同一台主机,一旦We

13、b服务器被攻陷,那么辘库和核心应用也就被攻击者掌控了。规则3.1.3 : Web站点的根目录必须安装在非系统卷中。说明：Web站点根目录安装国E系统卷，如单独创建T目录Web作为Web站点根目录,能够防止攻击者使用目录遍历攻击访问系统工具和可执行文件。建议3.1.1 : Web服务器与应用服务器需物理分离（即安装在不同的主机上），以提高应用的安全性。士议3.1.2 :如果Web应用系统存在不同的访问等级（如个人帐号使用、客户服务、管理）力陷应该通过不同的Web服务器来处I鳏自不同访问等级的请求，而且Web应用应该鉴请求是否来自正确的Web服务器。说明：这样便于通过防火墙的访问控制策略和Web应

14、用来控制不同访问等级的访问，比如通过防火墙策略控制，只允许内网访问管理Portal o建议3.13 :对于客户服务和管理类的访问,除了普通的认证，还应该增加额外的访问限制。说明：额舶勺访问限制，可以限制请求来自企业内网,可以建立VPN ,或采用双向认证的SSL ;或采用更简单的办法,通过IP地址白名单对客户端的IP地址进行过滤判断,实施参考附件3客户端IP鉴权实施指导。3.2身份验证3.2.1 口令关于Web应用及容器涉及到的口令,请遵循产品网络安全红线的口令安全要求（详细内容请见：附件4 口令安全要求.xlsK3.2.2 认证规则3.2.2.1 :对用户的最终认证处理过程必须放到应用服务器进行。说明：不允许仅仅通过脚本或其他形式在客户端进行验证，必须在应用服务器进行最终认证处理（如果采用集中认证，那么对用户的最终认证就是放在集中认证服务器进行）。规则3.2.2.2 :网页上的登录/认证表单必须加入验证码。说明：使用验证码的目的是为了阻止攻击者使用自动登录工具连续尝试登录，从而降低被暴力破解的可能。如果觉得验证码影响用户体验，那么可以在前3次登录尝试中不使用验证码,3次登录失败后必须使用验证码。验证码在设计上必须要考虑到一些安全因素，以免能被轻易地破解。