Web应用安全系统基线

实用文档Web应用安全配置基线实用文档版本版本控制信息更新日期更新人审批人V1.0创建2009年1月V2.0更新2012年4月备注：1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。实用文档目录第1章概述..................................................................51.1目的....................................................................51.2适用范围................................................................51.3适用版本................................................................51.4实施....................................................................51.5例外条款................................................................5第2章身份与访问控制........................................................62.1账户锁定策略............................................................62.2登录用图片验证码........................................................62.3口令传输................................................................62.4保存登录功能............................................................72.5纵向访问控制............................................................72.6横向访问控制............................................................72.7敏感资源的访问..........................................................8第3章会话管理..............................................................93.1会话超时................................................................93.2会话终止................................................................93.3会话标识................................................................93.4会话标识复用...........................................................10第4章代码质量.............................................................114.1防范跨站脚本攻击.......................................................114.2防范SQL注入攻击.......................................................114.3防止路径遍历攻击.......................................................114.4防止命令注入攻击.......................................................124.5防止其他常见的注入攻击.................................................124.6防止下载敏感资源文件...................................................134.7防止上传后门脚本.......................................................134.8保证多线程安全.........................................................134.9保证释放资源...........................................................14第5章内容管理.............................................................155.1加密存储敏感信息.......................................................155.2避免泄露敏感技术细节...................................................15第6章防钓鱼与防垃圾邮件...................................................166.1防钓鱼.................................................................166.2防垃圾邮件.............................................................16第7章密码算法.............................................................177.1安全算法...............................................................17实用文档7.2密钥管理...............................................................17第8章评审与修订...........................................................18实用文档第1章概述1.1目的本文档旨在指导系统管理人员进行Web应用安全基线检查。1.2适用范围本配置标准的使用者包括：服务器系统管理员、应用程序管理员、网络安全管理员。1.3适用版本基于B/S架构的Web应用1.4实施1.5例外条款实用文档第2章身份与访问控制2.1账户锁定策略安全基线项目名称Web应用账户锁定策略安全基线要求项安全基线编号SBL-WebAPP-02-01-01安全基线项说明用户登录失败一定次数后系统自动锁定账号一段时间，以防止暴力猜测密码。检测操作步骤尝试使用错误用户名口令失败登录多次，基线符合性判定依据用户登录失败一定次数后系统自动锁定账号。备注2.2登录用图片验证码安全基线项目名称Web应用登录验证策略安全基线要求项安全基线编号SBL-WebAPP-02-02-01安全基线项说明用户登录需提供图片验证码，以防止固定密码暴力猜测账号。检测操作步骤检查登录认证界面输入项，并右键点击图片查看链接属性。基线符合性判定依据要求包含图片验证码输入项，并且图片链接属性不得包含明文图片验证码。备注2.3口令传输安全基线项目名称Web应用口令传输策略安全基线要求项安全基线编号SBL-WebAPP-02-03-01实用文档安全基线项说明不能明文传输用户登录密码。检测操作步骤尝试登录系统，并使用抓包工具查看交互过程中在网络传输的内容。基线符合性判定依据要求不得出现明文口令备注2.4保存登录功能安全基线项目名称Web应用保存登录安全基线要求项安全基线编号SBL-WebAPP-02-04-01安全基线项说明不能提供“保存登录”功能，该功能可能被利用于CSRF攻击。检测操作步骤检查登录界面是否提供了保存登录功能基线符合性判定依据不得提供该功能。备注2.5纵向访问控制安全基线项目名称Web应用纵向访问安全基线要求项安全基线编号SBL-WebAPP-02-05-01安全基线项说明合理进行纵向访问控制，不允许普通用户访问管理功能。检测操作步骤了解是否有不允许普通用户访问的功能，尝试直接在浏览器中访问功能链接。基线符合性判定依据用户不得跨权限访问受控页面备注2.6横向访问控制安全基线项目名称Web应用横向访问安全基线要求项实用文档安全基线编号SBL-WebAPP-02-06-01安全基线项说明合理进行横向访问控制，不允许用户访问其他用户的敏感数据。检测操作步骤了解是否存在敏感信息，检查是否对个人敏感信息进行了有效保护基线符合性判定依据用户不得跨权限查看其它用户受保护敏感信息备注2.7敏感资源的访问安全基线项目名称Web应用敏感资源访问安全基线要求项安全基线编号SBL-WebAPP-02-07-01安全基线项说明需要限制对敏感资源的访问，例如后台管理，日志记录等。检测操作步骤检查服务器的文件是否存在敏感资源，测试是否限制了这些资源的访问。基线符合性判定依据对敏感资源的访问应当受控。备注实用文档第3章会话管理3.1会话超时安全基线项目名称Web应用会话超时安全基线要求项安全基线编号SBL-WebAPP-03-01-01安全基线项说明当用户长时间不操作时，系统自动终止超时会话。检测操作步骤登录系统后不操作，等待合理的时间间隔。基线符合性判定依据要求预先设计的时间间隔后查看页面自动中止超时会话。备注3.2会话终止安全基线项目名称Web应用会话终止安全基线要求项安全基线编号SBL-WebAPP-03-02-01安全基线项说明系统需提供“退出”功能，允许用户强制终止当前的会话。检测操作步骤登录系统后点击系统提供的“退出”功能，然后在同一IE窗口下视图回退到登录后的页面，并访问相应的功能基线符合性判定依据点击退出后，上述检测操作结果不成功备注3.3会话标识安全基线项目名称Web应用会话标识安全基线要求项安全基线编号SBL-WebAPP-03-03-01实用文档安全基线项说明会话标识必须足够随机，防止攻击者猜测标识或依据当前标识推导后续的标识。检测操作步骤检查多个会话标识的格式。基线符合性判定依据多个会话标识不得存在简单明了的逻辑关系，要求具有随机性备注3.4会话标识复用安全基线项目名称Web应用会话标识复用安全基线要求项安全基线编号SBL-WebAPP-03-04-01安全基线项说明用户登录后必须分配新的会话标识，不能继续使用用户未登录前所使用的标识。检测操作步骤检查登录前后是否使用相同的会话标识。基线符合性判定依据用户登录后必须分配新的会话标识，不能继续使用用户未登录前所使用的标识。备注实用文档第4章代码质量4.1防范跨站脚本攻击安全基线项目名称Web应用防范跨站脚本安全基线要求项安全基线编号SBL-WebAPP-04-01-01安全基线项说明系统要防止将用户输入未经检查就直接输出到用户浏览器，防范跨站脚本攻击。检测操作步骤检查系统是否存在跨站脚本攻击漏洞。例如在能够回显的输入框输入scriptalert(“xss”)/script基线符合性判定依据要求系统能够将输入内容中的控制字当作纯文本内容处理备注4.2防范SQL注入攻击安全基线项目名称Web应用防范SQL注入安全基线要求项安全基线编号SBL-WebAPP-04-02-01安全基线项说明系统要防止将用户输