資源描述:
《通用安全編碼規(guī)范》由會員上傳分享�,免費在線閱讀,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫�����。
1���、通用安全編碼規(guī)范天翼電子商務(wù)有限公司信息技術(shù)部【】通用安全編碼規(guī)范<文檔編號:BESTPAY-DMAQ-05>保密申明本文檔版權(quán)由天翼電子商務(wù)有限公司信息技術(shù)部所有�。未經(jīng)天翼電子商務(wù)有限公司信息技術(shù)部書面許可�,任何單位和個人不得以任何形式摘抄、復(fù)制本文檔的部分或全部����,并以任何形式傳播49通用安全編碼規(guī)范目錄1目的42范圍43規(guī)范概述44安全編碼的原則55WEB應(yīng)用程序常見安全問題55.1跨站腳本攻擊65.1.1定義65.1.2危害65.1.3解決方法75.2SQL注入95.2.1定義95.2.2危害105
2、.2.3解決方法105.3惡意腳本執(zhí)行115.3.1定義115.3.2危害125.3.3解決方法125.4文件上傳漏洞125.4.1定義125.4.2危害125.4.3解決方案125.5傳輸敏感信息未使用安全通道135.5.1定義135.5.2危害135.5.3解決方案135.6信息泄漏和錯誤處理不當135.6.1定義135.6.2危害145.6.3解決方案145.7跨站請求偽造155.7.1定義155.7.2危害155.7.3代碼示例155.7.4解決方案165.8訪問控制缺陷175.8.1權(quán)限提升175.8.2不安全的直接對
3�、象引用185.9不安全的加密205.9.1定義205.9.2弱加密示例215.9.3解決方案215.10限制URL訪問失效215.10.1定義215.10.2解決方案225.11Session管理2249通用安全編碼規(guī)范5.11.1Cookiehttponlyflag225.11.2CookieSecureflag235.11.3SessionExpires255.12日志和監(jiān)測266WEB應(yīng)用程序安全編碼要點266.1SOCKET網(wǎng)絡(luò)安全編程要求266.2安全認證要求276.2.1圖片驗證碼276.2.2短信驗證碼286.3加
4、密方法及強度要求296.4輸入驗證316.4.1什么是輸入316.4.2如何處理輸入376.5輸出編碼426.5.1輸出編碼的種類426.5.2輸出編碼的必要性426.5.3安全輸出編碼方式427翼支付常用WEB框架安全447.1Struts2:Action字段沒有驗證器(ActionFiledWithoutValidator)447.1.1定義447.1.2危害447.2Struts2:有重復(fù)的Action字段驗證器(DuplicateActionFieldValidators)457.2.1定義457.2.2危害457.2.
5����、3示例457.3Struts2:重復(fù)的驗證文件(DuplicateValidationFiles)457.3.1定義457.3.2危害467.4Struts2:重復(fù)的驗證器(DuplicateValidators)467.4.1定義467.4.2危害467.5Struts2:未聲明驗證器(UndeclaredValidator)467.5.1定義467.5.2危害477.5.3示例477.6Struts2:未經(jīng)驗證的Action(UnvalidateAction)477.6.1定義477.6.2危害477.7Struts2:驗證
6、文件無對應(yīng)的Action(ValidationFileWithoutAction)477.7.1定義477.8Struts2:驗證器無Action域(ValidatorWithoutActionField)487.8.1定義487.9SpringMVC的不良做法:請求參數(shù)綁定持久對象(SpringMVCPractices:RequestParametersBoundintoPersistedObjects)487.9.1定義487.9.2危害487.9.3示例:4849通用安全編碼規(guī)范8附錄498.1安全性測試_checklis
7��、t498.2代碼安全審計checklist491目的為保障天翼電子商務(wù)有限公司(以下簡稱“翼支付”)支付平臺的安全性�,構(gòu)建安全健壯的程序�����,結(jié)合翼支付Web安全遇到的問題以及啟明星辰安全研究實驗室在Web攻防及代碼安全的理論和實踐積累�,特制定本規(guī)范���,旨在為翼支付開發(fā)團隊提供設(shè)計及編寫應(yīng)用程序時普遍應(yīng)該遵循的原則。為充分理解本規(guī)范內(nèi)容���,請:?了解應(yīng)用程序?qū)艿降耐{�;?理解必須考慮的威脅��;?在程序設(shè)計階段考慮到這些威脅����。2范圍本規(guī)范從應(yīng)用安全開發(fā)的角度出發(fā),結(jié)合翼支付平臺系統(tǒng)的特點和常見的安全問題���,給出支付平臺應(yīng)用系統(tǒng)安全開發(fā)的規(guī)
8����、范����。供翼支付平臺應(yīng)用系統(tǒng)開發(fā)部門內(nèi)部使用���,適用翼支付平臺應(yīng)用系統(tǒng)項目開發(fā)的工作。本規(guī)范定義了翼支付平臺應(yīng)用系統(tǒng)安全開發(fā)和編碼安全相關(guān)的技術(shù)要求�。本規(guī)范主要提供設(shè)計應(yīng)用程序時應(yīng)該遵循的一些指南和原則。在應(yīng)用程序易受攻擊的重要環(huán)節(jié)應(yīng)采用系統(tǒng)的方法��。將重點放在程序部署
