返回
通用安全编码规范

通用安全编码规范

ID:22319650

大小:1.42 MB

页数:49页

时间:2018-10-28

通用安全编码规范_第1页
通用安全编码规范_第2页
通用安全编码规范_第3页
通用安全编码规范_第4页
通用安全编码规范_第5页
资源描述:

《通用安全编码规范》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、天翼电子商务有限公司信息技术部【】通用安全编码规范<文档编号:BESTPAY-DMAQ-05>保密申明本文档版权由天翼电子商务有限公司信息技术部所有。未经天翼电子商务有限公司信息技术部书面许可,任何单位和个人不得以任何形式摘抄、复制本文档的部分或全部,并以任何形式传播目录1目的42范围43规范概述44安全编码的原则55WEB应用程序常见安全问题55.1跨站脚本攻击65.1.1定义65.1.2危害65.1.3解决方法75.2SQL注入95.2.1定义95.2.2危害105.2.3解决方法105.3恶意脚本执行115.

2、3.1定义115.3.2危害125.3.3解决方法125.4文件上传漏洞125.4.1定义125.4.2危害125.4.3解决方案125.5传输敏感信息未使用安全通道135.5.1定义135.5.2危害135.5.3解决方案135.6信息泄漏和错误处理不当135.6.1定义135.6.2危害145.6.3解决方案145.7跨站请求伪造155.7.1定义155.7.2危害155.7.3代码示例155.7.4解决方案165.8访问控制缺陷175.8.1权限提升175.8.2不安全的直接对象引用185.9不安全的加密205.9.1定义205.9

3、.2弱加密示例215.9.3解决方案215.10限制URL访问失效215.10.1定义215.10.2解决方案225.11Session管理225.11.1Cookiehttponlyflag225.11.2CookieSecureflag235.11.3SessionExpires255.12日志和监测266WEB应用程序安全编码要点266.1SOCKET网络安全编程要求266.2安全认证要求276.2.1图片验证码276.2.2短信验证码286.3加密方法及强度要求296.4输入验证316.4.1什么是输入316.4.2如何处理输入3

4、76.5输出编码426.5.1输出编码的种类426.5.2输出编码的必要性426.5.3安全输出编码方式427翼支付常用WEB框架安全447.1Struts2:Action字段没有验证器(ActionFiledWithoutValidator)447.1.1定义447.1.2危害447.2Struts2:有重复的Action字段验证器(DuplicateActionFieldValidators)457.2.1定义457.2.2危害457.2.3示例457.3Struts2:重复的验证文件(DuplicateValidationFiles

5、)457.3.1定义457.3.2危害467.4Struts2:重复的验证器(DuplicateValidators)467.4.1定义467.4.2危害467.5Struts2:未声明验证器(UndeclaredValidator)467.5.1定义467.5.2危害477.5.3示例477.6Struts2:未经验证的Action(UnvalidateAction)477.6.1定义477.6.2危害477.7Struts2:验证文件无对应的Action(ValidationFileWithoutAction)477.7.1定义477

6、.8Struts2:验证器无Action域(ValidatorWithoutActionField)487.8.1定义487.9SpringMVC的不良做法:请求参数绑定持久对象(SpringMVCPractices:RequestParametersBoundintoPersistedObjects)487.9.1定义487.9.2危害487.9.3示例:488附录498.1安全性测试_checklist498.2代码安全审计checklist491目的为保障天翼电子商务有限公司(以下简称“翼支付”)支付平台的安全性,构建安全健壮的程序

7、,结合翼支付Web安全遇到的问题以及启明星辰安全研究实验室在Web攻防及代码安全的理论和实践积累,特制定本规范,旨在为翼支付开发团队提供设计及编写应用程序时普遍应该遵循的原则。为充分理解本规范内容,请:Ø了解应用程序将会受到的威胁;Ø理解必须考虑的威胁;Ø在程序设计阶段考虑到这些威胁。2范围本规范从应用安全开发的角度出发,结合翼支付平台系统的特点和常见的安全问题,给出支付平台应用系统安全开发的规范。供翼支付平台应用系统开发部门内部使用,适用翼支付平台应用系统项目开发的工作。本规范定义了翼支付平台应用系统安全开发和编码安全相关的技术要求。本

8、规范主要提供设计应用程序时应该遵循的一些指南和原则。在应用程序易受攻击的重要环节应采用系统的方法。将重点放在程序部署、输入验证、身份验证和授权、加密及数据敏感度、配置、会话、异常管理以及适当的

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。