javaweb安全开发规范

javaweb安全开发规范

ID:27672391

大小:54.00 KB

页数:6页

时间:2018-12-05

javaweb安全开发规范_第1页
javaweb安全开发规范_第2页
javaweb安全开发规范_第3页
javaweb安全开发规范_第4页
javaweb安全开发规范_第5页
资源描述:

《javaweb安全开发规范》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、JavaWeb安全开发规范1•目的保障WEB应用平台的安全性,保证WEB应用系统的可用性、完整性和保密性从安全角度规范WEB应用系统开发人员,能够让WEB应用开发者树立很强的安全意识,在开发过程屮编写安全代码,进行安全编程。2•范本规范从应用安全开发角度岀发,给岀WEB应用系统安全开发的规范。供软通动力內部使用,适用各个WEB应用系统项目开发的工作。本规范定义了WEB应用系统安全幵发和WEB编码安全相关的技术要求。3.规范概述WEB应用系统为架构设计人员、开发人员提出了一系列复杂的安全问题。最安全、最有能力抵御

2、攻击的Web应用程序是那些应用安全思想构建的应用程序。在设计初始阶段,应该使用可靠的安全体系结构和设计方法,同时要结合考虑应用程序的部署以及企业的安全策略。如果不能做到这一点,将导致在现有基础结构上部署应用程序时,要不可避免地危及网站系统的安全性。本规范提供初步的安全体系结构和设计指啕,并按照常见的应用程序漏洞类别进行组织。这些指南是WEB应用程序安全的重要方面,并且是经常发生错误的领域。4.安全编码原则♦程序只实现你指定的功能♦永不要信任用户输入,对用户输入数据有效性检查♦必须考虑意外情况并进行处理♦不要试图

3、在发现错误之后继续执行♦尽可能使用安全函数进行编程♦小心、认真、细致地编程3.软件编码安全5.1.输入校验WEB应用程序从各个方而获取输入,例如所有用户发送的,或者Web应用程序与用户交互往返的数据(用户提交的数据,cookie信息,查询字符申参数),以及后台数裾(数裾库、配罝文件、其他数据来源)。所有输入的数据都会在某种情况下影响请求的处理。正确的输入验证是防御目前应用程序攻击的最有效方法之一。正确的输入验证是防止XSS、SQL注入、缓冲区溢出和其他输入攻击的有效对策。以卜做法可以增强Web应用程序的输入验证

4、:>假定所有输入都是恶意的开始输入校验时,首先假定所有输入都是恶意的,除非有证据表明它们并无恶意,无论输入是来自服务、共亨文件、用户还是数据库,只有其来源不在可信任的范围之内,就应对输入进行验证。>集中方法将输入验证策略作为应用程序的核心元素。考虑集屮式验证方法,例如通过使用共享库屮的公共验证和筛选代码。这确保验证规则应用的一致性。此外还能减少开发工作量,并且有助于以后的维护工作。>不要依赖客户端验证应使用服务器端代码执行其A身的验证,如果攻击者绕过客户端或者禁用客户端javascript脚本,后果如何?使用客

5、户端验证可以减少客户端到服务器端的往返次数,但是不要依赖这种方法进行安全验证。>注意标准化问题数据的标准形式是最标准、最简单的形式。标准化是指将数据转化力标准形式的过程。文件路径和URL尤其倾向于标准化问题。例如/www/pubIic/testfile.jsp/www/public/../public/testfile.jsp/www/public///testfile.jsp%2fwww%2fpublic%2f%2f%2ftestfile.jsp都表示同一个文件。通常,应设法避免让应用程序接受用户输入的文件名

6、,以防止标准化问题。可以考虑其他方式,例如由应用程序为用户确定文件名。如果确实需要用户输入文件名,在作岀安全决策(如授予或拒绝特定文件的访问权限)之前应确保这些文件名具有严格定义的形式。>限制输入定义应用程序字段可以接受的数据输入,并强制应用该定义,拒绝一切有害数据。>验证数据的类型、长度、格式和范围在适当的地方对输入数据使川强类型检查,可以使用参数化的存储过程來访问数据。应该检查字符串字段的长度,在许多情况下还应检査字符申的格式是否正确,例如邮政编码、手机号码、身份证号码等都具有明确定义的格式,可以使用常规表

7、达式进行验证。长度检查会加大攻击者实施其所喜欢的攻击方式的难度。>拒绝已知的有害输入例如查询条件屮禁止输入or1=1等。>净化输入净化包括从删除用户输入字符串后面的空格到去除值等一切行为。常见的净化输入示例是使川URL编码或者HTML编码來包装数据,并将其作为文本而不是可执行脚木来处理5.2.输出编码输出编码是转换输入数据为输出格式的过程。输出格式不包含或者只是有选择性的包含允许的特殊字符。输出的重量有:1)支持HTML代码的输出2)不支持HTML代码的输出3)URL的输出4)页而内容的输入5)js脚本的输出6

8、)Style样式的输出7)Xml数据的输出8)服务空间的输出输出编码能有效的防止HTML注入(跨站脚本XSS攻击)等,也能确保输出内容的完整性和正确性。对于支持HTML代码的输出,输出前要确保代码中不含有跨站攻击脚本才能输出。通过编写过滤函数来进行强制过滤。对于不支持HTML代码的输出,在输出到页面前要进行HTML编码。对于URL的输出要对URL进行UrIEncode处理,要确保URL

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。