返回
web应用系统编码与部署安全规范

web应用系统编码与部署安全规范

ID:16223169

大小:31.50 KB

页数:4页

时间:2018-08-08

web应用系统编码与部署安全规范_第1页
web应用系统编码与部署安全规范_第2页
web应用系统编码与部署安全规范_第3页
web应用系统编码与部署安全规范_第4页
资源描述:

《web应用系统编码与部署安全规范》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、WEB应用系统编码与部署安全规范总则第一条为规范公司业务系统WEB应用编码和部署的安全控制和管理,特制定本规范,并作为安全检查及考核的参考依据。第二条本规范中列出的是常见安全措施和高风险的漏洞,在软件产品研发与系统部署的过程中,对本规范未能尽述的必要安全措施,仍应予以采用。第三条第四条本规范每年复审一次,其它时候也可以根据需要进行修订并发布。本规范的解释权和修改权归属我司信息技术部。第二章适用范围第五条第六条本规范适用于我司所有在线业务系统、测试系统的WEB应用。本规范可作为其他非WEB应用的编码和部署安全办法参考。第二章软件编码安全第七条SQL语句的参数应以变量形式传入(一)在对数据库进行查

2、询与各类操作时,SQL语句中的参数应以变量形式传输给服务器,不应直接将参数的值拼接到SQL语句的文本中。(二)参数的类型包括所有数据类型,而不仅是字符串类型。(三)参数值的来源包括但不限于:用户输入的数据、从数据库中读出的数据、从配置文件中读出的数据、从外部系统中获得的数据、其它程序逻辑计算得出的数据,等等。(四)SQL语句的执行位置包括但不限于:代码中的SQL语句,数据库的存储过程、触发器、定时器等。(五)应用程序在处理用户非法URL请求,触发后台应用程序的SQL错误时,应返回处理后的错误页面提示,禁止直接抛出数据库SQL错误,如出现ORA-xxx等等。第八条页面中的非源代码内容应经过URI

3、编码(一)页面中的非源代码内容,应该以URI编码后的字符出现,避免特殊字符直接出现在页面中。(二)内容的来源包括但不限于:在服务器端由程序生成的页面内容、在浏览器端由脚本生成的页面内容(如:javascript中的document.write函数)。(三)页面中的隐藏内容、页面格式控制等,也应受本条约束。第九条页面中拼装的脚本应校验元素来源的合法性(一)在浏览器端拼装并运行(如:利用javascript的eval函数执行)的脚本,应校验拼装元素的来源合法性,确定其中没有危害性的内容。(二)校验的范围包括但不限于:变量名元素应符合标识符的规则、整型元素只包含数字、元素中不包含特殊字符。第十条页面

4、请求处理应校验参数的最大长度(一)WEB服务器在接受页面请求时,应校验参数的最大长度,截断超出最大长度的范围。第十一条登录失败信息错误提示应一致(一)WEB服务器在接受用户登录请求时,不应区分登录失败的提示信息(如:用户名不存在、密码错误、密码已过期等),应采用统一的失败提示信息(如:错误的用户名或密码)。第十二条避免页面上传任意扩展名的文件(一)WEB服务器在接受页面上传文件时,应对文件名进行过滤,仅接受指定范围的文件(如:图片,.zip文件等),同时,要修改上传后的文件名,不应接受可能存在危险的文件(如:.jsp,.sh,.war,.jar文件等)。(二)如果出于业务的需要(如:网盘等)必

5、须接受任意扩展名的文件,则应自动修改上传文件的扩展名,并注意采用统一的无风险的扩展名命名规则。第十三条避免接受页面中的主机磁盘路径信息(一)WEB服务器接受的页面请求中的任何内容,不得作为主机磁盘路径(包括相对路径)处理,尤其不得在程序中提取磁盘上的目录、文件的内容传送到页面。第十四条第三方产品的合法性(一)应选择合法的第三方产品,在使用第三方产品前,需要进行安全的评估和版本筛选,具体范围和使用请遵循《我司软件开发第三方产品使用规范》第三章系统部署安全第十五条限制主机上WEB系统启动用户的权限(一)应将WEB系统的启动用户的权限限制在最小范围内,禁止该用户访问其它不必要的路径(如:/etc/、

6、/root)。第十六条隐藏后台调试信息(一)WEB系统、数据库等报告的异常信息、调试信息不应该出现在页面上。第十七条密码加密存储(一)WEB系统中存储的密码应采用一定的加密算法,以密文形式存放。此处所指的密码包括但不限于:1.配置文件中的主机、网络、数据库、邮箱的密码;2.数据库中的用户资料密码;(二)加密算法的选择应根据实际需要,首选不对称加密算法,次选破解难度高的对称加密算法。第十八条隐藏重要配置参数信息(一)对于重要的配置参数信息,应采用必要的隐藏措施,具体技术请遵循《我司软件开发敏感参数保护规范》(二)此处所指的配置参数包括但不限于:1.重要的用户名、密码;2.重要设备的内网地址(如:

7、数据库、存储设备);第十九条隐藏日志文件(一)不应将日志文件的路径设置在页面可达的位置,用户通过页面应该无法访问到系统产生的日志文件。第二十条禁用WebDAV,或者禁止不需要的HTTP方法(一)在无特定的需求情况下,应只开放GET,HEAD,POST等安全的HTTP方法,禁用PUT,DELETE,OPTIONS等具有操作性质的HTTP方法。第二十一条保证管理平台、测试账号口令强度(一)WEB系统的

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。