web安全评测解决方案与代码编写规范

《web安全评测解决方案与代码编写规范》由会员上传分享，免费在线阅读，更多相关内容在行业资料-天天文库。

1、四川电科院信息系统《代码安全编写规范》WEB安全评测解决方案与代码编写规范北京恒华伟业科技股份有限公司2013年10月北京恒华伟业科技股份有限公司四川电科院信息系统《代码安全编写规范》目录1Xss注入简介21.1一个简单的例子21.2网上的xss讲解32防御xss的七条原则92.1前言92.2原则1：不要在页面中插入任何不可信数据，除非这些数已经据根据下面几个原则进行了编码102.3原则2：在将不可信数据插入到HTML标签之间时，对这些数据进行HTMLEntity编码112.4原则3：在将不可信数据插入到

2、HTML属性里时，对这些数据进行HTML属性编码122.5原则4：在将不可信数据插入到SCRIPT里时，对这些数据进行SCRIPT编码142.6原则5：在将不可信数据插入到Style属性里时，对这些数据进行CSS编码162.7原则6：在将不可信数据插入到HTMLURL里时，对这些数据进行URL编码172.8原则7：使用富文本时，使用XSS规则引擎进行编码过滤183项目中防御xss的具体措施213.1在jsp中的输出防御213.1.1stuts标签输出防御213.1.2Esapi标签输出防御213.1.3J

3、ava输出代码防御通过<%=temp%>的方式224防御url中的xss代码注入攻击办法235控制通过输入非登录页的url进入系统功能245.1.1Referer验证过滤器245.1.2window.open和window.location.href=特殊处理246系统日志组件的调用方法256.1.1方法一:直接调用256.1.2方法二通过Annotation25北京恒华伟业科技股份有限公司四川电科院信息系统《代码安全编写规范》1Xss注入简介1.1一个简单的例子先看下现在frp登录页面的xss注入漏洞先

4、打开系统登录页http://192.168.2.99:8080/scmm/然后在系统用户名中文本框中输入1,xss:*/-->'">;密码为1点击登录按钮，则出现如下界面原因是系统验证用户名失败后，重新跳转到login.jsp而login.jsp中通过${userCode}的方式对userCode变量进行了直接的页面输出，从而执行了不安全的脚本，正确的

5、方式使应当对userCode进行字符编码转换后再进行输出，具体的编码转换输出方式，请参照第三章节再比如在一个博客添加页面blogAdd.jsp中有一个form表单