web应用安全基线

web应用安全基线

ID:19558381

大小:592.00 KB

页数:18页

时间:2018-10-03

web应用安全基线_第1页
web应用安全基线_第2页
web应用安全基线_第3页
web应用安全基线_第4页
web应用安全基线_第5页
资源描述:

《web应用安全基线》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、WEB应用安全配置基线Web应用安全配置基线中国移动通信有限公司管理信息系统部2012年4月中国移动通信有限公司第18页共18页WEB应用安全配置基线版本版本控制信息更新日期更新人审批人V1.0创建2009年1月V2.0更新2012年4月备注:1.若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。中国移动通信有限公司第18页共18页WEB应用安全配置基线目录第1章概述51.1目的51.2适用范围51.3适用版本51.4实施51.5例外条款5第2章身份与访问控制62.1账户锁定策略62.2登录用图片验证码62.3口令传输62.4保存登录功

2、能72.5纵向访问控制72.6横向访问控制72.7敏感资源的访问8第3章会话管理93.1会话超时93.2会话终止93.3会话标识93.4会话标识复用10第4章代码质量114.1防范跨站脚本攻击114.2防范SQL注入攻击114.3防止路径遍历攻击114.4防止命令注入攻击124.5防止其他常见的注入攻击124.6防止下载敏感资源文件134.7防止上传后门脚本134.8保证多线程安全134.9保证释放资源14第5章内容管理155.1加密存储敏感信息155.2避免泄露敏感技术细节15第6章防钓鱼与防垃圾邮件166.1防钓鱼166.2防垃圾邮件16第7章密码算法

3、177.1安全算法17中国移动通信有限公司第18页共18页WEB应用安全配置基线7.2密钥管理17第8章评审与修订18中国移动通信有限公司第18页共18页WEB应用安全配置基线第1章概述1.1目的本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的Web应用服务器应当遵循的安全标准,本文档旨在指导系统管理人员进行Web应用安全基线检查。1.2适用范围本配置标准的使用者包括:服务器系统管理员、应用程序管理员、网络安全管理员。本配置标准适用的范围包括:中国移动总部和各省公司信息化部门所维护管理的Web应用系统。1.3适用版本基于B/S架构的Web应用1

4、.4实施本标准的解释权和修改权属于中国移动通信有限公司管理信息系统部。在本标准的执行过程中若有任何疑问或建议,应及时反馈。本标准发布之日起生效。1.5例外条款欲申请本标准的例外条款,申请人必须准备书面申请文件,说明业务需求和原因,送交中国移动通信有限公司管理信息系统部进行审批备案。中国移动通信有限公司第18页共18页WEB应用安全配置基线第1章身份与访问控制1.1账户锁定策略安全基线项目名称Web应用账户锁定策略安全基线要求项安全基线编号SBL-WebAPP-02-01-01安全基线项说明用户登录失败一定次数后系统自动锁定账号一段时间,以防止暴力猜测密码。

5、检测操作步骤尝试使用错误用户名口令失败登录多次,基线符合性判定依据用户登录失败一定次数后系统自动锁定账号。备注1.2登录用图片验证码安全基线项目名称Web应用登录验证策略安全基线要求项安全基线编号SBL-WebAPP-02-02-01安全基线项说明用户登录需提供图片验证码,以防止固定密码暴力猜测账号。检测操作步骤检查登录认证界面输入项,并右键点击图片查看链接属性。基线符合性判定依据要求包含图片验证码输入项,并且图片链接属性不得包含明文图片验证码。备注1.3口令传输安全基线项目名称Web应用口令传输策略安全基线要求项安全基线编号SBL-WebAPP-02-0

6、3-01中国移动通信有限公司第18页共18页WEB应用安全配置基线安全基线项说明不能明文传输用户登录密码。检测操作步骤尝试登录系统,并使用抓包工具查看交互过程中在网络传输的内容。基线符合性判定依据要求不得出现明文口令备注1.1保存登录功能安全基线项目名称Web应用保存登录安全基线要求项安全基线编号SBL-WebAPP-02-04-01安全基线项说明不能提供“保存登录”功能,该功能可能被利用于CSRF攻击。检测操作步骤检查登录界面是否提供了保存登录功能基线符合性判定依据不得提供该功能。备注1.2纵向访问控制安全基线项目名称Web应用纵向访问安全基线要求项安全

7、基线编号SBL-WebAPP-02-05-01安全基线项说明合理进行纵向访问控制,不允许普通用户访问管理功能。检测操作步骤了解是否有不允许普通用户访问的功能,尝试直接在浏览器中访问功能链接。基线符合性判定依据用户不得跨权限访问受控页面备注1.3横向访问控制安全基线项目名称Web应用横向访问安全基线要求项中国移动通信有限公司第18页共18页WEB应用安全配置基线安全基线编号SBL-WebAPP-02-06-01安全基线项说明合理进行横向访问控制,不允许用户访问其他用户的敏感数据。检测操作步骤了解是否存在敏感信息,检查是否对个人敏感信息进行了有效保护基线符合性

8、判定依据用户不得跨权限查看其它用户受保护敏感信息备注1.1敏感资源

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。