WEB安全编程技术规范.docx

范围本规范从WEB应用开发安全管理要求出发，给出了WEB编码安全的具体要求。本规范明确定义了JAVA应用开发中和WEB编码安全相关的技术细节。与JAVA编码安全相关的内容包括：跨站脚本攻击及解决方法、SQL注入及解决方法、恶意文件执行及解决方法、不安全的直接对象引用及解决方法、跨站请求伪造及解决方法、信息泄露和错误处理不当及解决方法、残缺的认证和会话管理及解决方法、不安全的加密存储及解决方法、不安全的通信及解决方法、限制URL访问实效解决方法等。1.规范概述Web应用程序为架构设计人员、开发人员、测试人员和运维运营人员提出一系列复杂的安全问题，最安全、最有能力抵御攻击的Web应用程序是那些应用安全思想构建的应用程序。在设计初始阶段，应该使用可靠的体系结构和设计方法，同时要结合考虑程序部署以及企业的安全策略。如果不能做到这一点，将导致在现有基础结构上部署应用程序时，要不可避免地危及安全性。本规范提供一系列安全的体系结构和设计指南，并按照常见的应用程序漏洞类别进行组织。这些指南是Web应用程序安全的重要方面，并且是经常发生错误的领域。2.实现目标使用本规范可以实现：确定安全Web应用程序的重要体系结构和设计问题。设计时考虑重要部署问题。制定能增强Web应用程序输入验证的策略。设计安全的身份验证和会话管理机制。选择适当的授权模型。实现有效的帐户管理方法，并保护用户会话。对隐私认可并防止篡改，和对身份验证信息进行加密。防止参数操作。安全漏洞checklist。设计审核和记录策略。3.安全编码原则程序只实现你指定的功能。永不要信任用户输入，对用户输入数据做有效性检查。必须考虑意外情况并进行处理。不要试图在发现错误之后继续执行。尽可能使用安全函数进行编程。小心、认真、细致地编程。4.安全背景知识本规范主要提供设计应用程序时应该遵循的一些指南和原则。为充分理解本规范内容，请：了解应用程序将会受到的威胁，以确保通过程序设计解决这些问题。了解需要考虑的威胁，在程序设计阶段应该考虑到这些威胁。在应用程序易受攻击的重要环节应用系统的方法。将重点放在程序部署、输入验证、身份验证和授权、加密及数据敏感度、配置、会话、异常管理以及适当的审核和记录策略上，以确保应用程序具有健壮性。5.JAVA安全编程——OWASP TOP10 AND ESAPI5.1 OWASP TOP 10 与ESAPIOWASP(开放Web应用安全项目-OpenWebApplicationSecurityProject)是一个开放社群、非营利性组织，目前全球有82个分会近万名会员，其主要目是研议协助解决Web软体安全之准则、工具与技术，长期致力于协助政府或企业并改善网页应用程式与网页服务的安全性。OWASP TOP 10是10个最关键的Web应用安全问题清单。这份名单是每隔数年更新（最近2013年）。Top 10项目的目标是通过找出企业组织所面临的最严重的风险来??高人们对应用程序安全的关注度。Top 10项目被众多标准、书籍、工具和相关组织引用,包括 MITRE、PCI DSS、DISA、 FTC等等。此版本的 OWASP Top 10标记了该项目这十年来对于应用程序安全风险重要性认知的推广。OWASP Top 10最初于2003 年发布，并于2004年和2007年相继做了少许的修改更新。2010年版做了修改以对风险进行排序，而不仅仅仅限于流行程度。本次发布的2013年版也沿用了该方法。名单上都是那些通常很简单的，危险的安全问题。这里是一个以在OWASP十大项目的链接。/index.php/Category:OWASP_Top_Ten_Project/index.php/Category:OWASP_Top_Ten_Project其实简单一点来说，ESAPI就是为编写出更加安全的代码设计出来的一些API，方便使用者调用，从而方便的编写安全的代码。它本身是开源的，同时提供JAVA版本和.NET版本。代码下载地址：/p/owasp-esapi-java/下图显示提供的API与OWASP列出的10个安全问题的盖关系：下图显示结合ESAPI设计你的程序：下图简单呈现ESAPI如何运作：5.2 跨站脚本（XSS）5.2.1定义当应用程序收到含有不可信的数据，在没有进行适当的验证和转义的情况下，就将它发送给一个网页浏览器，这就会产生跨站脚本攻击(简称XSS)。XSS允许攻击者在受害者的浏览器上执行脚本，从而劫持用户会话、危害网站、或者将用户转向至恶意网站。5.2.2危害攻击者能在受害者浏览器中执行脚本以劫持用户会话、迫害网站、插入恶意内容、重定向用户、使用恶意软件劫持用户浏览器等等。5.2.3种类已知有三种著名跨站漏洞：1）存储式；2）反射式；3）基于DOM。反射式跨站脚本通过测试或代码分析很