資源描述:
《通用安全編碼規(guī)范》由會(huì)員上傳分享��,免費(fèi)在線閱讀����,更多相關(guān)內(nèi)容在應(yīng)用文檔-天天文庫(kù)。
1�、天翼電子商務(wù)有限公司信息技術(shù)部【】通用安全編碼規(guī)范<文檔編號(hào):BESTPAY-DMAQ-05>保密申明本文檔版權(quán)由天翼電子商務(wù)有限公司信息技術(shù)部所有。未經(jīng)天翼電子商務(wù)有限公司信息技術(shù)部書(shū)面許可��,任何單位和個(gè)人不得以任何形式摘抄����、復(fù)制本文檔的部分或全部,并以任何形式傳播目錄1目的42范圍43規(guī)范概述44安全編碼的原則55WEB應(yīng)用程序常見(jiàn)安全問(wèn)題55.1跨站腳本攻擊65.1.1定義65.1.2危害65.1.3解決方法75.2SQL注入95.2.1定義95.2.2危害105.2.3解決方法105.3惡意腳本執(zhí)行115.
2���、3.1定義115.3.2危害125.3.3解決方法125.4文件上傳漏洞125.4.1定義125.4.2危害125.4.3解決方案125.5傳輸敏感信息未使用安全通道135.5.1定義135.5.2危害135.5.3解決方案135.6信息泄漏和錯(cuò)誤處理不當(dāng)135.6.1定義135.6.2危害145.6.3解決方案145.7跨站請(qǐng)求偽造155.7.1定義155.7.2危害155.7.3代碼示例155.7.4解決方案165.8訪問(wèn)控制缺陷175.8.1權(quán)限提升175.8.2不安全的直接對(duì)象引用185.9不安全的加密205.9.1定義205.9
3�、.2弱加密示例215.9.3解決方案215.10限制URL訪問(wèn)失效215.10.1定義215.10.2解決方案225.11Session管理225.11.1Cookiehttponlyflag225.11.2CookieSecureflag235.11.3SessionExpires255.12日志和監(jiān)測(cè)266WEB應(yīng)用程序安全編碼要點(diǎn)266.1SOCKET網(wǎng)絡(luò)安全編程要求266.2安全認(rèn)證要求276.2.1圖片驗(yàn)證碼276.2.2短信驗(yàn)證碼286.3加密方法及強(qiáng)度要求296.4輸入驗(yàn)證316.4.1什么是輸入316.4.2如何處理輸入3
4、76.5輸出編碼426.5.1輸出編碼的種類(lèi)426.5.2輸出編碼的必要性426.5.3安全輸出編碼方式427翼支付常用WEB框架安全447.1Struts2:Action字段沒(méi)有驗(yàn)證器(ActionFiledWithoutValidator)447.1.1定義447.1.2危害447.2Struts2:有重復(fù)的Action字段驗(yàn)證器(DuplicateActionFieldValidators)457.2.1定義457.2.2危害457.2.3示例457.3Struts2:重復(fù)的驗(yàn)證文件(DuplicateValidationFiles
5��、)457.3.1定義457.3.2危害467.4Struts2:重復(fù)的驗(yàn)證器(DuplicateValidators)467.4.1定義467.4.2危害467.5Struts2:未聲明驗(yàn)證器(UndeclaredValidator)467.5.1定義467.5.2危害477.5.3示例477.6Struts2:未經(jīng)驗(yàn)證的Action(UnvalidateAction)477.6.1定義477.6.2危害477.7Struts2:驗(yàn)證文件無(wú)對(duì)應(yīng)的Action(ValidationFileWithoutAction)477.7.1定義477
6�����、.8Struts2:驗(yàn)證器無(wú)Action域(ValidatorWithoutActionField)487.8.1定義487.9SpringMVC的不良做法:請(qǐng)求參數(shù)綁定持久對(duì)象(SpringMVCPractices:RequestParametersBoundintoPersistedObjects)487.9.1定義487.9.2危害487.9.3示例:488附錄498.1安全性測(cè)試_checklist498.2代碼安全審計(jì)checklist491目的為保障天翼電子商務(wù)有限公司(以下簡(jiǎn)稱(chēng)“翼支付”)支付平臺(tái)的安全性�,構(gòu)建安全健壯的程序
7、��,結(jié)合翼支付Web安全遇到的問(wèn)題以及啟明星辰安全研究實(shí)驗(yàn)室在Web攻防及代碼安全的理論和實(shí)踐積累�����,特制定本規(guī)范���,旨在為翼支付開(kāi)發(fā)團(tuán)隊(duì)提供設(shè)計(jì)及編寫(xiě)應(yīng)用程序時(shí)普遍應(yīng)該遵循的原則�。為充分理解本規(guī)范內(nèi)容�,請(qǐng):?了解應(yīng)用程序?qū)?huì)受到的威脅;?理解必須考慮的威脅�����;?在程序設(shè)計(jì)階段考慮到這些威脅��。2范圍本規(guī)范從應(yīng)用安全開(kāi)發(fā)的角度出發(fā),結(jié)合翼支付平臺(tái)系統(tǒng)的特點(diǎn)和常見(jiàn)的安全問(wèn)題��,給出支付平臺(tái)應(yīng)用系統(tǒng)安全開(kāi)發(fā)的規(guī)范����。供翼支付平臺(tái)應(yīng)用系統(tǒng)開(kāi)發(fā)部門(mén)內(nèi)部使用,適用翼支付平臺(tái)應(yīng)用系統(tǒng)項(xiàng)目開(kāi)發(fā)的工作�。本規(guī)范定義了翼支付平臺(tái)應(yīng)用系統(tǒng)安全開(kāi)發(fā)和編碼安全相關(guān)的技術(shù)要求。本
8����、規(guī)范主要提供設(shè)計(jì)應(yīng)用程序時(shí)應(yīng)該遵循的一些指南和原則�。在應(yīng)用程序易受攻擊的重要環(huán)節(jié)應(yīng)采用系統(tǒng)的方法。將重點(diǎn)放在程序部署����、輸入驗(yàn)證、身份驗(yàn)證和授權(quán)�����、加密及數(shù)據(jù)敏感度����、配置����、會(huì)話����、異常管理以及適當(dāng)?shù)?/p>
