基于互联网网站的安全开发规范.docVIP

基于互联网网站的安全开发规范 主 要 内 容 1 前言 7 1.1 目的 7 1.2 主要参考文档 7 2 常见WEB安全威胁介绍 7 2.1 跨站脚本漏洞（XSS） 9 2.1.1 漏洞说明 9 2.1.2 漏洞危害 10 2.1.3 处理说明 10 2.1.4 示例 11 2.2 注入漏洞 12 2.2.1 漏洞说明 12 2.2.2 漏洞危害 12 2.2.3 处理说明 12 2.2.4 示例 12 2.3 HTTP消息头注入 13 2.3.1 漏洞说明 13 2.3.2 漏洞危害 13 2.3.3 处理说明 13 2.3.4 示例 13 2.4 重定向漏洞 14 2.4.1 漏洞说明 14 2.4.2 漏洞危害 15 2.4.3 处理说明 15 2.4.4 示例 15 2.5 请求伪造(OSRF/CSRF) 15 2.5.1 漏洞说明 15 2.5.2 漏洞危害 16 2.5.3 处理说明 16 2.5.4 示例 17 2.6 文件上传漏洞 17 2.6.1 漏洞说明 17 2.6.2 漏洞危害 17 2.6.3 处理说明 17 2.6.4 示例 18 2.7 不安全的直接对象引用 18 2.7.1 漏洞说明 18 2.7.2 漏洞危害 18 2.7.3 处理说明 18 2.7.4 示例 18 2.8 信息泄漏及不正确的错误操作 19 2.8.1 漏洞说明 19 2.8.2 漏洞危害 19 2.8.3 处理说明 19 2.8.4 示例 19 2.9 失效证证及会话管理 20 2.9.1 漏洞说明 20 2.9.2 漏洞危害 20 2.9.3 处理说明 20 2.9.4 示例 21 2.10 不安全的信息存储及通信 21 2.10.1 漏洞说明 21 2.10.2 漏洞危害 21 2.10.3 处理说明 21 2.10.4 示例 21 2.11 限制URL访问失效 22 2.11.1 漏洞说明 22 2.11.2 漏洞危害 22 2.11.3 处理说明 22 2.11.4 示例 22 2.12 特殊字符的HTML转换 22 2.12.1 漏洞说明 22 2.12.2 漏洞危害 22 2.12.3 处理说明 23 2.12.4 示例 23 2.13 缓冲区溢出 23 2.13.1 漏洞说明 23 2.13.2 漏洞危害 23 2.13.3 处理说明 23 2.13.4 示例 23 3 安全开发规范 23 3.1 用户登录处理 24 3.2 会话安全 24 3.3 用户输入检查及过滤 25 3.4 界面输出 27 3.5 页面重定向 27 3.6 错误信息处理 27 3.7 对象访问权限 28 3.8 上传内容检查 28 3.9 敏感信息处理 28 3.10 密码储存及使用 28 3.11 数据库执行脚本 29 3.12 系统调用 29 3.13 WEB服务器配置 29  前言 目的 本文档通过介绍目前Web应用中的常见漏洞现在的网络攻击技术新、变化快， 威胁种类 威胁实施途径 导致结果 Code Scanning (Server/Client) [源代码扫描（服务端/客户端）] Browsing source code [浏览源代码] Learn Vulnerabilities [收集信息，了解目标弱点] Cookie Poisoning [Cookie 中毒] Changing cookie content [改变cookie内容] User Impersonation [扮演成为其他用户身份] Hidden Manipulation [隐藏域值篡改] Changing hidden HTML fields value [改变HTML隐藏域值] eShoplifting [电子商品偷窃] Forceful Site Browsing [强行浏览] Use URL address line [使用URL地址行] Access sensitive data [访问敏感数据] Third Party Misconfigurations [第三方误配置] Default or improper software configuration [缺省或者不正确的软件配置] Access OS or data [访问OS或者数据] Identified(Known) Vulnerabilities [已知漏洞] Published vendor bugs [已公布的厂商软件漏洞] Access OS, Crash server/app/DB, access sensitive data [访问OS或者敏感数据，甚至捣毁服务器/应用程序/数据库] Buffer Overflow [缓冲区溢出] Overflow