資源描述:
《通用安全編碼規(guī)范》由會員上傳分享,免費在線閱讀�����,更多相關內(nèi)容在應用文檔-天天文庫。
1����、天翼電子商務有限公司信息技術部【】通用安全編碼規(guī)范<文檔編號:BESTPAY-DMAQ-05>保密申明本文檔版權由天翼電子商務有限公司信息技術部所有。未經(jīng)天翼電子商務有限公司信息技術部書面許可��,任何單位和個人不得以任何形式摘抄�����、復制本文檔的部分或全部��,并以任何形式傳播目錄1目的42范圍43規(guī)范概述44安全編碼的原則55WEB應用程序常見安全問題55.1跨站腳本攻擊65.1.1定義65.1.2危害65.1.3解決方法75.2SQL注入95.2.1定義95.2.2危害105.2.3解決方法105.3惡意腳本執(zhí)行115.
2���、3.1定義115.3.2危害125.3.3解決方法125.4文件上傳漏洞125.4.1定義125.4.2危害125.4.3解決方案125.5傳輸敏感信息未使用安全通道135.5.1定義135.5.2危害135.5.3解決方案135.6信息泄漏和錯誤處理不當135.6.1定義135.6.2危害145.6.3解決方案145.7跨站請求偽造155.7.1定義155.7.2危害155.7.3代碼示例155.7.4解決方案165.8訪問控制缺陷175.8.1權限提升175.8.2不安全的直接對象引用185.9不安全的加密205.9.1定義205.9
3、.2弱加密示例215.9.3解決方案215.10限制URL訪問失效215.10.1定義215.10.2解決方案225.11Session管理225.11.1Cookiehttponlyflag225.11.2CookieSecureflag235.11.3SessionExpires255.12日志和監(jiān)測266WEB應用程序安全編碼要點266.1SOCKET網(wǎng)絡安全編程要求266.2安全認證要求276.2.1圖片驗證碼276.2.2短信驗證碼286.3加密方法及強度要求296.4輸入驗證316.4.1什么是輸入316.4.2如何處理輸入3
4��、76.5輸出編碼426.5.1輸出編碼的種類426.5.2輸出編碼的必要性426.5.3安全輸出編碼方式427翼支付常用WEB框架安全447.1Struts2:Action字段沒有驗證器(ActionFiledWithoutValidator)447.1.1定義447.1.2危害447.2Struts2:有重復的Action字段驗證器(DuplicateActionFieldValidators)457.2.1定義457.2.2危害457.2.3示例457.3Struts2:重復的驗證文件(DuplicateValidationFiles
5��、)457.3.1定義457.3.2危害467.4Struts2:重復的驗證器(DuplicateValidators)467.4.1定義467.4.2危害467.5Struts2:未聲明驗證器(UndeclaredValidator)467.5.1定義467.5.2危害477.5.3示例477.6Struts2:未經(jīng)驗證的Action(UnvalidateAction)477.6.1定義477.6.2危害477.7Struts2:驗證文件無對應的Action(ValidationFileWithoutAction)477.7.1定義477
6�����、.8Struts2:驗證器無Action域(ValidatorWithoutActionField)487.8.1定義487.9SpringMVC的不良做法:請求參數(shù)綁定持久對象(SpringMVCPractices:RequestParametersBoundintoPersistedObjects)487.9.1定義487.9.2危害487.9.3示例:488附錄498.1安全性測試_checklist498.2代碼安全審計checklist491目的為保障天翼電子商務有限公司(以下簡稱“翼支付”)支付平臺的安全性����,構建安全健壯的程序
7�、�����,結合翼支付Web安全遇到的問題以及啟明星辰安全研究實驗室在Web攻防及代碼安全的理論和實踐積累�����,特制定本規(guī)范�,旨在為翼支付開發(fā)團隊提供設計及編寫應用程序時普遍應該遵循的原則。為充分理解本規(guī)范內(nèi)容����,請:?了解應用程序將會受到的威脅;?理解必須考慮的威脅��;?在程序設計階段考慮到這些威脅�����。2范圍本規(guī)范從應用安全開發(fā)的角度出發(fā)�����,結合翼支付平臺系統(tǒng)的特點和常見的安全問題,給出支付平臺應用系統(tǒng)安全開發(fā)的規(guī)范���。供翼支付平臺應用系統(tǒng)開發(fā)部門內(nèi)部使用��,適用翼支付平臺應用系統(tǒng)項目開發(fā)的工作����。本規(guī)范定義了翼支付平臺應用系統(tǒng)安全開發(fā)和編碼安全相關的技術要求����。本
8、規(guī)范主要提供設計應用程序時應該遵循的一些指南和原則����。在應用程序易受攻擊的重要環(huán)節(jié)應采用系統(tǒng)的方法���。將重點放在程序部署���、輸入驗證、身份驗證和授權��、加密及數(shù)據(jù)敏感度、配置����、會話、異常管理以及適當?shù)?/p>
