华为WEB应用系统安全规范v5ddcb.docx

《华为WEB应用系统安全规范v5ddcb.docx》由会员分享，可在线阅读，更多相关《华为WEB应用系统安全规范v5ddcb.docx（62页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、DKBAA华为技术术有限公公司内部部技术规规范DKBAA 16606-XXXXX.XWeb应应用安全全开发规规范 V1.520133年XX月XX日发发布 22013年XX月XX日实实施华为技术术有限公公司Huawwei Tecchnoologgiess Coo., Ltdd.版权所有有 侵侵权必究究All rigghtss reeserrvedd修订声明明Revvisiion decclarratiion本规范拟拟制与解解释部门门：网络安全全能力中中心&电电信软件件与核心心网网络络安全工工程部本规范的的相关系系列规范范或文件件：C&CC+语语言安全全编程规规范Jaava语语言安全全编程规规范相

2、关国际际规范或或文件一一致性：无替代或作作废的其其它规范范或文件件：无相关规范范或文件件的相互互关系：产品网网络安全全红线和和电信信软件与与核心网网业务部部安全能能力基线线中的的Webb安全要要求引用用了本规规范的内内容，如如果存在在冲突，以以本规范范为准。规范号主要起草草部门专专家主要评审审部门专专家修订情况况DKBAA 16606-20007.44安全解决决方案：赵武4428773，杨光磊磊571125，万振华华551108软件公司司设计管管理部：刘茂征征110000，刘高峰峰635564，何伟祥祥334428安全解决决方案：刘海军军120014，吴宇翔翔181167，吴海翔翔571182

3、接入网：彭东红红272279无线：胡胡涛4666344核心网：吴桂彬彬 4115088，甘嘉嘉栋 3332229，马马进 3328997，谢谢秀洪 331194，张张毅 2276551，张张永锋 405582业软：包包宜强5567337，丁丁小龙6635883，董董鹏越6607993，傅傅鉴杏3369118，傅傅用成3303333，龚连阳阳187753，胡海60017320，胡海华52463，李诚37517，李大锋54630，李战杰21615，刘创文65632，刘飞46266，刘剑51690，栾阳62227，罗仁钧65560，罗湘武06277，马亮60009259，孟咏喜22499，潘海涛27

4、360，孙林46580，王福40317，王锦亮36430，王美玲60011866，王谟磊65558，王玉龙24387，杨娟60019875，张锋43381，张健60005645，张轶57143，邹韬51591V1.00何伟祥3334228刘高峰 635564，龚龚连阳 0011293383，许许汝波 629966，吴吴宇翔 0011203395，王王欢 00010040662，吕吕晓雨 569987V1.22增加了WWeb Serrvicce、AAjaxx和上传传和下载载相关的的安全规规范。何伟祥00016628222V1.33增加了防防止会话话固定和和防止跨跨站请求求伪造的的安全规规范。何伟

5、祥00016628222V1.44增加了“规则3.4.11”的实施施指导；删除了了“建议33.4.1”；修改了了“6 配配套CBBB介绍绍”的内容容和获取取方式。增加了“3.9 DWR”何伟祥 0011628822吴淑荣 0011977720魏建雄 0022229906谢和坤 0011977709李田 00004420991孙波 00017758339朱双红 0000514429王伟 00020074440陈伟 00014415000V1.55增加“规规则3.3.99、规则则3.66.5、规则44.7.1、建议44.7.2、4.88 PHHP”增加“33.8 RESSTfuul WWeb Se

6、rrvicce”修改“规规则3.2.22.8、规规则3.2.22.3、规规则3.4.11、规则则4.66.1”删除“33.2.1口令令策略”和“规则33.1.3、规规则3.2.33.8、规规则4.7.11”附件文档档作为对对象直接接插入主主文档目 录录 Tablle oof CConttentts1概述71.1背景简简介71.2技术框框架81.3使用对对象91.4适用范范围91.5用词约约定92常见见WEBB安全漏漏洞103WEEB设计计安全规规范113.1Webb部署要要求113.2身份验验证123.2.1口令123.2.2认证123.2.3验证码码153.3会话管管理163.4权限管管理1

7、73.5敏感数数据保护护183.5.1敏感数数据定义义183.5.2敏感数数据存储储183.5.3敏感数数据传输输203.6安全审审计213.77Webb Seerviice223.8RESSTfuul WWeb Serrvicce233.9DWRR244WEEB编程程安全规规范254.1输入校校验254.2输出编编码304.3上传下下载304.4异常处处理314.5代码注注释314.6归档要要求324.77其他334.8PHPP345WEEB安全全配置规规范366配套套CBBB介绍376.1WAFF CBBB376.2验证码码CBBB387附件件387.1附件1 Tommcatt配置SSSL

8、指导导387.2附件2 Webb Seerviice 安全接接入开发发指导387.3附件3 客户端端IP鉴权权实施指指导387.4附件4 口令安安全要求求387.5附件5 Webb权限管管理设计计规格说说明书39Web应应用安全全开发规规范 VV1.51 概述1.1 背景简介介在Intternnet大大众化及及Webb技术飞飞速演变变的今天天，Weeb安全全所面临临的挑战战日益严严峻。黑黑客攻击击技术越越来越成成熟和大众化化，针对对Webb的攻击击和破坏坏不断增增长，WWeb安安全风险险达到了了前所未未有的高高度。许多程序序员不知知道如何何开发安安全的应应用程序序，开发发出来的的Webb应用存

9、存在较多多的安全全漏洞，这些安全全漏洞一一旦被黑客利用用将导致严重重甚至是是灾难性性的后果。这这并非危危言耸听听，类似似的网上上事故举举不胜举举，公司司的Webb产品也曾多次次遭黑客客攻击，甚甚至有黑黑客利用用公司Weeb产品品的漏洞洞敲诈运运营商，造成极其恶劣的影响。本规范就就是提供供一套完完善的、系统化化的、实用的的Webb安全开开发方法法供Weeb研发发人员使使用，以以期达到到提高Webb安全的的目的。本本规范主主要包括括三大内内容：WWeb设设计安全全、Weeb编程程安全、WWeb配配置安全全，配套套CBBB，多管管齐下，实实现Weeb应用用的整体体安全性性；本规范范主要以以JSPP/

10、Jaava编编程语言言为例。1.2 技术框架架图1 典型的WWeb安安全技术术框架图1 显显示了典典型的WWeb安安全的技技术框架架和安全全技术点点，这些些安全技技术点，贯贯穿整个个Webb设计开开发过程程。上图图各个区区域中存存在任何何一点薄薄弱环节节，都容易导导致安全全漏洞。由于HTTTP的的开放性性，Weeb应用用程序必必须能够够通过某某种形式式的身份份验证来来识别用用户，并确保身份份验证过过程是安安全的，同同样必须须很好地地保护用用于跟踪踪已验证证用户的的会话处处理机制制。为了了防止一一些恶意意输入，还还要对输输入的数数据和参参数进行行校验。另另外还要要考虑WWeb系系统的安安全配置置

11、，敏感感数据的的保护和和用户的的权限管管理，以以及所有有操作的的安全审审计。当当然还要要考虑代代码安全全，以及及其他方方面的威威胁。表 1 列出了了一些WWeb缺缺陷类别别，并针针对每类类缺陷列列出了由由于设计计不当可可能会导导致的潜潜在问题题。针对这些些潜在的的问题，本规范中有相应的解决措施。表1 Web 应用程程序缺陷陷和由于于不良设设计可能能导致的的问题缺陷类别别由于不良良设计可可能导致致的问题题身份验证证身份伪造造、口令令破解、权权限提升升和未授授权访问问。会话管理理通过捕获获导致会会话劫持持和会话话伪造。权限管理理访问机密密或受限限数据、篡篡改和执执行未授授权操作作。配置管理理未授权

12、访访问管理理界面、更更新配置置数据、访问用用户帐户户和帐户户配置文文件。敏感数据据机密信息息泄漏和数数据篡改改。加密技术术未授权访访问机密密数据或或帐户信信息。安全审计计未能识别别入侵征征兆、无无法证明明用户的的操作，以以及在问问题诊断断中存在在困难。输入检验验通过嵌入入查询字字符串、窗窗体字段段、Coookiie 和和 HTTTP 标头中中的恶意意字符串串所执行行的攻击击。包括括命令执执行、跨跨站点脚脚本编写写 (XXSS)、SQQL 注注入和缓缓冲区溢溢出攻击击等。参数操作作路径遍历历攻击、命命令执行行、此外外还有跳跳过访问问控制机机制、导导致信息息泄露、权权限提升升和拒绝绝服务。异常管理

13、理拒绝服务务和敏感感的系统统级详细细信息泄泄露。1.3 使用对象象本规范的的读者及及使用对对象主要要为Weeb相关关的需求求分析人人员、设设计人员员、开发发人员、测测试人员员等。1.4 适用范围围本规范的的制定考考虑了公公司各种种Webb应用开开发的共共性，适适合于公公司绝大大部分WWeb产产品，要要求Weeb产品品开发必必须遵循循。对于嵌入入式系统统（如AADSLL Moodemm、硬件件防火墙墙）中的的Webb应用，由由于其特特殊性（CCPU、内内存、磁磁盘容量量有限，没没有成熟熟的Weeb容器器），不不强制遵遵循本规规范的所所有内容容，只需需遵循以以下章节节的规则则要求：3.2身身份验证

14、证3.3会会话管理理3.5敏敏感数据据保护4.1输输入校验验4.2输输出编码码4.3上上传下载载4.5代代码注释释4.6归归档要求求1.5 用词约定定 规则：强强制必须须遵守的的原则 建议：需需要加以以考虑的的原则 说明：对对此规则则或建议议进行相相应的解解释 实施指导导：对此此规则或或建议的的实施进进行相应应的指导导2 常见Weeb安全全漏洞Web应应用的安全漏漏洞有很多，无无法穷举举。针对对众多的的Webb漏洞，OWASP的专家们结合各自在各领域的应用安全工作经验及智慧，提出了十大Web应用程序安全漏洞，帮助人们关注最严重的漏洞。（OWASP即开放Web应用安全项目，是一个旨在帮助人们理解

15、和提高Web应用及服务安全性的项目组织。）表2 十大Weeb应用用程序安安全漏洞洞列表序号漏洞名称称漏洞描述述1注入注入攻击击漏洞，例例如SQQL、OOS命令令以及LLDAPP注入。这这些攻击击发生在在当不可可信的数数据作为为命令或或者查询询语句的的一部分分，被发发送给解解释器的的时候。攻攻击者发发送的恶恶意数据据可以欺欺骗解释释器，以以执行计计划外的的命令或或者访问问未被授授权的数数据。2跨站脚本本当应用程程序收到到含有不不可信的的数据，在在没有进进行适当当的验证证和转义义的情况况下，就就将它发发送给一一个网页页浏览器器，这就就会产生生跨站脚脚本攻击击（简称称XSSS）。XXSS允允许攻击击

16、者在受受害者的的浏览器器上执行行脚本，从从而劫持持用户会会话、危危害网站站、或者者将用户户转向至至恶意网网站。3失效的身身份认证证和会话话管理与身份认认证和会会话管理理相关的的应用程程序功能能往往得得不到正正确的实实现，这这就导致致了攻击击者破坏坏密码、密密匙、会会话令牌牌或攻击击其他的的漏洞去去冒充其其他用户户的身份份。4不安全的的直接对对象引用用当开发人人员暴露露一个对对内部实实现对象象的引用用时，例例如，一一个文件件、目录录或者数数据库密密匙，就就会产生生一个不不安全的的直接对对象引用用。在没没有访问问控制检检测或其其他保护护时，攻攻击者会会操控这这些引用用去访问问未授权权数据。5跨站请

17、求求伪造一个跨站站请求伪伪造攻击击迫使登登录用户户的浏览览器将伪伪造的HHTTPP请求，包包括该用用户的会会话coookiie和其其他认证证信息，发发送到一一个存在在漏洞的的Webb应用程程序。这这就允许许了攻击击者迫使使用户浏浏览器向向存在漏漏洞的应应用程序序发送请请求，而而这些请请求会被被应用程程序认为为是用户户的合法法请求。6安全配置置错误好的安全全需要对对应用程程序、框框架、应应用程序序服务器器、Weeb服务务器、数数据库服服务器和和平台，定定义和执执行安全全配置。由由于许多多设置的的默认值值并不是是安全的的，因此此，必须须定义、实实施和维维护所有有这些设设置。这这包括了了对所有有的软

18、件件保护及及时地更更新，包包括所有有应用程程序的库库文件。7失败的UURL访访问权限限限制许多Weeb应用用程序在在显示受受保护的的链接和和按钮之之前会检检测URRL访问问权限。但但是，当当这些页页面被访访问时，应应用程序序也需要要执行类类似的访访问控制制检测，否否则攻击击者将可可以伪装装这些UURL去去访问隐隐藏的网网页。8未经验证证的重定定向和前前转Web应应用程序序经常将将用户重重定向和和前转到到其他网网页和网网站，并并且利用用不可信信的数据据去判定定目的页页面。如如果没有有得到适适当验证证，攻击击者可以以将受害害用户重重定向到到钓鱼网网站或恶恶意网站站，或者者使用前前转去访访问未经经授

19、权的的网页。9不安全的的加密存存储许多Weeb应用用程序并并没有使使用恰当当的加密密措施或或Hassh算法法保护敏敏感数据据，比如如信用卡卡、社会会安全号号码（SSSN）、认认证凭据据等。攻攻击者可可能利用用这种弱弱保护数数据实行行身份盗盗窃、信信用卡欺欺骗或或或其他犯犯罪。10传输层保保护不足足应用程序序时常没没有身份份认证、加加密措施施，甚至至没有保保护敏感感网络数数据的保保密性和和完整性性。而当当进行保保护时，应应用程序序有时采采用弱算算法、使使用过期期或无效效的证书书，或不不正确地地使用这这些技术术。3 Web设设计安全全规范3.1 Web部部署要求求规则3.1.11：如果 Webb

20、应用用对 IInteerneet 开开放，WWeb服服务器应应当置于于DMZZ区，在在Webb服务器器与Innterrnett之间，WWeb服服务器与与内网之之间应当当有防火火墙隔离离，并设设置合理理的策略略。规则3.1.22：如果 Webb 应用用对 IInteerneet 开开放，WWeb服服务器应应该部署署在其专专用的服服务器上上，应避避免将数数据库服服务器或或其他核核心应用用与Weeb服务务器部署署在同一一台主机机上。说明：WWeb服服务器比比较容易易被攻击击，如果果数据库库或核心心应用与与Webb服务器器部署在在同一台台主机，一一旦Weeb服务务器被攻攻陷，那那么数据据库和核核心应用

21、用也就被被攻击者者掌控了了。规则3.1.33：Webb站点的的根目录录必须安装装在非系系统卷中中。说明：WWeb站站点根目目录安装装在非系系统卷，如如单独创创建一个个目录/homme/WWeb作作为Weeb站点点根目录录，能够够防止攻攻击者使使用目录录遍历攻攻击访问问系统工工具和可可执行文文件。建议3.1.11：Webb服务器器与应用用服务器器需物理理分离（即即安装在在不同的的主机上上），以以提高应应用的安安全性。建议3.1.22：如果Weeb应用用系统存在不同的的访问等等级（如如个人帐帐号使用用、客户户服务、管管理），那那么应该该通过不不同的WWeb服服务器来来处理来来自不同同访问等级级的请

22、求求，而且Weeb应用用应该鉴鉴别请求求是否来来自正确确的Web服务务器。说明：这这样便于通过防防火墙的的访问控控制策略略和Weeb应用用来控制制不同访访问等级级的访问问，比如如通过防防火墙策策略控制制，只允允许内网网访问管管理Poortaal。建议3.1.33：对于“客户服服务”和“管理”类的访访问，除除了普通通的认证证，还应应该增加加额外的的访问限限制。说明：额额外的访访问限制制，可以以限制请请求来自自企业内内网，可可以建立立VPNN，或采用用双向认认证的SSSL；或采用用更简单单的办法法，通过过IP地地址白名名单对客客户端的的IP地地址进行行过滤判判断，实实施参考考附件33客户端端IP鉴

23、鉴权实施施指导。3.2 身份验证证3.2.1 口令关于Weeb应用用及容器器涉及到到的口令令，请遵遵循产产品网络络安全红红线的的口令安安全要求求（详细细内容请请见：附附件4 口令安安全要求求.xllsx）。3.2.2 认证规则3.2.22.1：对用户户的最终终认证处理理过程必必须放到到应用服服务器进进行。说明：不不允许仅仅仅通过过脚本或或其他形形式在客客户端进进行验证证，必须须在应用用服务器器进行最最终认证证处理（如如果采用用集中认认证，那那么对用用户的最最终认证证就是放放在集中中认证服服务器进进行）。规则3.2.22.2：网页上上的登录录/认证表单单必须加加入验证证码。说明：使使用验证证码的

24、目目的是为为了阻止止攻击者者使用自自动登录录工具连连续尝试试登录，从而降低被暴力破解的可能。如果觉得验证码影响用户体验，那么可以在前3次登录尝试中不使用验证码，3次登录失败后必须使用验证码。验证码在设计上必须要考虑到一些安全因素，以免能被轻易地破解。具体实现细节请查看3.2.3验证码。如图：图2 验证码实施指导导：建议使用用电信软软件与核核心网网网络安全全工程部部提供的的验证码码CBBB。备注：对对于嵌入入式系统统，如果果实现验验证码比比较困难难，可以以通过多多次认证证失败锁锁定客户户端IPP的方式式来防止止暴力破破解。规则3.2.22.3：用户名名、密码码和验证证码必须须在同一一个请求求中提

25、交交给服务务器，必必须先判判断验证证码是否否正确，只有当验证码检验通过后才进行用户名和密码的检验，否则直接提示验证码错误。说明：如如果验证证码和用用户名、密密码分开开提交，攻击者就可以绕过验证码校验（如：先手工提交正确的验证码，再通过程序暴力破解），验证码就形同虚设，攻击者依然可以暴力破解用户名及口令。规则3.2.22.4：所有登登录页面面的认证证处理模模块必须须统一。说明：可可以存在在多个登登录页面面，但是不不允许存存在多个个可用于于处理登登录认证证请求的的模块，防防止不一一致的认认证方式式。规则3.2.22.5：所有针对对其他第第三方开开放接口口的认证证处理模模块必须须统一。规则3.2.2

26、2.6：认证处理理模块必必须对提提交的参参数进行行合法性性检查。说明：具具体输入入校验部部分请查查看4.1输入入校验。规则3.2.22.7：认证失失败后，不不能提示示给用户户详细以以及明确确的错误误原因，只只能给出出一般性性的提示。说明：可可以提示示：“用户名名或者口口令错误误，登录录失败”；不能能提示：“用户名名不存在在”、“口令必必须是 6 位位”等等。规则3.2.22.8：最终用用户poortaal和管管理poortaal分离离。说明：最最终用户户porrtall和管理理porrtall分离，防止相互影响，防止来自用户面的攻击影响管理面。实施指导导：将最终用用户poortaal和管管理p

27、oortaal分别别部署在在不同的的物理服服务器；如果为为了解决决成本合合设（部部署在同同一台物物理服务务器上），那那么，必必须做到到端口分分离（通通过不同同的端口口提供WWeb服服务），一一般的WWeb容容器（如如tommcatt）支持持为不同同的Weeb应用用创建不不同的端端口。规则3.2.22.9：禁止在在系统中中预留任任何的后后门帐号号或特殊殊的访问问机制。规则3.2.22.10：对于重重要的管管理事务务或重要要的交易易事务要要进行重重新认证证，以防防范会话话劫持和和跨站请请求伪造造给用户户带来损损失。说明：重重要的管管理事务务，比如如重新启启动业务务模块；重要的的交易事事务，比比如转

28、账账、余额额转移、充充值等。重新认证，比如让用户重新输入口令。规则3.2.22.111：用户户名和密密码认证证通过后后，必须须更换会会话标识识，以防防止会话话固定（sesssioon ffixaatioon）漏洞。实施指导导：场景一：对于从从HTTTP转到到HTTTPS再再转到HHTTPP（也就就是仅在在认证过过程采用用HTTTPS，认认证成功功后又转转到HTTTP）的的，在用用户名和和密码认认证通过过后增加加以下行行代码：reqquesst.ggetSSesssionn().invvaliidatte();HtttpSeessiion newwSesssioon=rrequuestt.gee

29、tSeessiion(truue);Coookiee coookiie = neew CCookkie(JSSESSSIONNID,neewSeessiion.gettId(); coookiee.seetMaaxAgge(-1);coookiee.seetSeecurre(ffalsse);coookiee.seetPaath(reqquesst.ggetCConttexttPatth();ressponnse.adddCoookiee(coookiie);场景二：对于全全程采用用HTTTPS协协议，或或者全程程采用HHTTPP协议的的，在用用户名和和密码认认证通过过后增加加以下行行代码：r

30、eqquesst.ggetSSesssionn().invvaliidatte();reqquesst.ggetSSesssionn(trrue);建议3.2.2.1：管理页面面建议实实施强身身份认证。说明：如如双因素认认证、SSSL双双向证书书认证、生生物认证证等；还可以以通过应应用程序序限制只允允许某些些特定的的IP地地址访问问管理页页面，并且这些些特定的的IP地地址可配配置。建议3.2.22.2：同一客户户端在多多次连续续尝试登登录失败败后，服服务端需需要进行行用户帐帐号或者者是客户户端所在在机器的的 IPP 地址址的锁定定策略，且且该锁定定策略必必须设置置解锁时时长，超超时后自自动解锁

31、锁。说明：登录失败败应该提提示用户户：如果果重试多多少次不不成功系系统将会会锁定。在锁定期间不允许该用户帐号（或者客户端所在机器的 IP 地址）登录。允许连续续失败的的次数（指指从最后后一次成成功以来来失败次次数的累累计值）可可配置，取取值范围围为：00-99 次，0表表示不执执行锁定定策略，建议默默认：55 次。锁定时长长的取值值范围为为：0-9999 分钟钟，建议议默认：30 分钟，当当取值为为 0 时，表表示无限限期锁定定，只能能通过管管理员手手动解锁锁（需要要提供管管理员对对服务器器锁定其其它用户户帐号/IP进进行解锁锁的功能能界面）。建议优先使用帐号锁定策略。注意：应应用程序序的超级

32、级用户帐帐号不能能被锁定定，只能能锁定操操作的客客户端所所在的 IP，这这是为了了防止系系统不可可用。特特别说明明：锁客客户端IIP策略略存在缺缺陷，当当用户使使用prroxyy上网时时，那么么锁定客客户端IIP会导导致使用用该prroxyy上网的的所有用用户在IIP锁定定期间都都不能使使用该WWeb应应用；锁锁定用户户帐户的的策略也也存在缺缺陷，当当攻击者者不断尝尝试某帐帐户的口口令，就就给该帐帐户带来来拒绝服服务攻击击，使该该帐户不不可用。3.2.3 验证码规则3.2.33.1：验证码码必须是是单一图片片，且只能采用用 JPPEG、PNGG或GIFF格式。说明：验验证码不不能使用用文本格式

33、式，不允许许多图片片组合（如用四四个图片片拼成的的验证码码）。规则3.2.33.2：验证码码内容不能与客户户端提交交的任何何信息相相关联。说明：在在使用验验证码生生成模块块时不允允许接收收来自客客户端的的任何参参数，例如：禁止通过过gettcodde.jjsp?codde=112344的URLL请求，将将12334作为为验证码码随机数数。规则3.2.33.3：验证码码模块生成成的随机机数不能能在客户户端的静静态页面面中的网网页源代代码里出现。说明：在在客户端端网页上上点击鼠鼠标右键键、选择择“查看源源文件”时，必须须看不到到验证码码模块生生成的随随机数。规则3.2.33.4：验证码码字符串串要

34、求是是随机生生成，生生成的随机数数必须是是安全的的。说明：对对于jaava语语言可以以使用类类 jaava.seccuriity.SeccureeRanndomm来生成成安全的的随机数数。规则3.2.33.5：验证码码要求有有背景干干扰，背背景干扰扰元素的颜颜色、位位置、数数量要求求随机变变化。规则3.2.33.6：验证码码在一次次使用后后要求立立即失效效，新的的请求需要要重新生生成验证证码。说明：进进行验证证码校验验后，立立即将会会话中的的验证码码信息清清空，而而不是等等到生成新新的验证证码时再去覆覆盖旧的的验证码码，防止止验证码码多次有有效；注意：当客户户端提交交的验证证码为空空，验证证不

35、通过过。说明：以上规则则可以通通过使用用电信软软件与核核心网网网络安全全工程部部提供的的验证码码CBBB来实现现。3.3 会话管理理规则3.3.11：使用会话话coookiee维持会话话。说明：目目前主流流的Weeb容器器通过以以下几种种方式维维持会话话：隐藏藏域、UURL重重写、持持久性ccookkie、会会话coookiie，但但通过隐隐藏域、URL重写或持久性cookie方式维持的会话容易被窃取，所以要求使用会话cookie维持会话。如果条件限制必须通过持久性cookie维持会话的话，那么cookie信息中的重要数据部分如身份信息、计费信息等都必须进行加密。（cookie有两种：会话co

36、okie和持久性cookie；会话cookie，也就是非持久性cookie，不设置过期时间，其生命期为浏览器会话期间，只要关闭浏览器窗口，cookie就消失了；会话cookie一般不存储在硬盘上而是保存在内存里。持久性cookie，设置了过期时间，被浏览器保存到硬盘上，关闭后再次打开浏览器，持久性cookie仍然有效直到超过设定的过期时间。）备注：对对于嵌入入式系统统的Weeb，不不适合本本条规则则，按“规则33.3.9”实施。规则3.3.22：会话过过程中不不允许修改改的信息息，必须作作为会话话状态的的一部分分在服务务器端存存储和维维护。说明：会会话过程程中不允允许修改改的信息息，例如如，当

37、用用户通过过认证后后，其用用户标识识在整个个会话过过程中不不能被篡篡改。禁禁止通过过隐藏域域或URRL重写写等不安全全的方式式存储和和维护。对JSSP语言言，就是是应该通通过seessiion对对象进行行存储和和维护。规则3.3.33：当Web应用用跟踪到到非法会会话，则则必须记记录日志志、清除除会话并并返回到到认证界界面。说明： 非法会会话的概概念就是是通过一一系列的的服务端端合法性性检测（包包括访问问未授权权资源，缺缺少必要要参数等等情况），最最终发现现的不是是正常请请求产生生的会话。规则3.3.44：禁止使使用客户户端提交交的未经经审核的的信息来来给会话话信息赋赋值。说明：防防止会话话信

38、息被被篡改，如如恶意用用户通过过URLL篡改手手机号码码等。规则3.3.55：当用户户退出时时，必须须清除该该用户的的会话信信息。说明：防防止遗留留在内存存中的会会话信息息被窃取取，减少少内存占占用。实施指导导：对于于JSPP或jaava语语言使用用如下语语句：rrequuestt.gettSesssioon().innvallidaate();规则3.3.66：必须设设置会话话超时机机制，在在超时过过后必须须要清除除该会话话信息。说明：建建议默认认会话超超时时间间为10分分钟（备备注：对对于嵌入入式系统统中的WWeb，建建议默认认超时时时间为55分钟，以以减少系系统资源源占用）。如果没有特殊

39、需求，禁止使用自动发起请求的机制来阻止session超时。规则3.3.77：在服务务器端对对业务流流程进行行必要的的流程安安全控制制，保证证流程衔衔接正确确，防止止关键鉴鉴别步骤骤被绕过过、重复复、乱序序。说明：客客户端流流程控制制很容易易被旁路路（绕过过），因因此流程程控制必必须在服服务器端端实现。实施指导导：可以以通过在在sesssioon对象象中创建建一个表表示流程程当前状状态的标标识位，用用0、1、22、3、N分别表示不同的处理步骤，标识位的初始值为0，当接收到步骤N的处理请求时，判断该标识位是否为N-1，如果不为N-1，则表示步骤被绕过（或重复或乱序），拒绝受理，否则受理，受理完成后

40、更改标识位为N。规则3.3.88：所有登登录后才才能访问问的页面面都必须须有明显显的“注销（或或退出）”的按钮或菜单，如果该按钮或菜单被点击，则必须使对应的会话立即失效。说明：这这样做是是为了让让用户能能够方便便地、安安全地注注销或退退出，减减小会话话劫持的的风险。规则3.3.99：如果果产品（如如嵌入式式系统）无无法使用用通用的的Webb容器，只只能自己己实现WWeb服服务，那那么必须须自己实实现会话话管理，并并满足以以下要求求： 采用会话话coookiee维持会会话。 生成会话话标识（ssesssionn IDD）要保保证足够够的随机机、离散散，以便便不能被被猜测、枚枚举，要要求seess

41、iion ID要要至少要要32字字节，要要支持字字母和数数字字符符集。 服务端必必须对客客户端提提交的ssesssionn IDD的有效效性进行行校验。说明：在在嵌入式式系统中中部署WWeb应应用，由由于软硬硬件资源源所限，往往往无法法使用通通用的WWeb容容器及容容器的会会话管理理功能，只只能自己己实现。另另外，为为了节省省内存，嵌嵌入式wwebsservver进进程往往往是动态态启动，为为了使ssesssionn更快的的超时，建建议增加加心跳机机制，对对客户端端浏览器器是否关关闭进行行探测，55s一个个心跳，330s没没有心跳跳则seessiion超超时，关关闭该ssesssionn。3.

42、4 权限管理理规则3.4.1：对于每一一个需要要授权访访问的页页面或sservvlett的请求求都必须须核实用用户的会会话标识识是否合合法、用用户是否否被授权权执行这这个操作作。说明：防防止用户户通过直直接输入入URLL，越权权请求并并执行一一些页面面或seervllet；建议通通过过滤滤器实现现。实施指导导： 请参考考“附件55 Weeb权限限管理设设计规格格说明书书.doocx”。规则3.4.22：授权和和用户角角色数据据必须存存放在服服务器端端，不能能存放在在客户端端，鉴权权处理也也必须在在服务器器端完成成。说明：禁禁止将授授权和角角色数据据存放在在客户端端中（比比如coookiie或隐

43、隐藏域中中），以以防止被被篡改。规则3.4.33：一个帐帐号只能能拥有必必需的角角色和必必需的权权限。一个组组只能拥拥有必需需的角色色和必需需的权限限。一个角角色只能能拥有必必需的权权限。说明：做做到权限限最小化化和职责责分离（职职责分离离就是分分清帐号号角色，系系统管理理帐号只只用于系系统管理理，审计计帐号只只用于审审计，操操作员帐帐号只用用于业务务维护操操作，普普通用户户帐号只只能使用用业务。）这样即使帐号被攻击者盗取，也能把安全损失控制在最小的限度。规则3.4.44：对于运运行应用用程序的的操作系系统帐号号，不应应使用“rooot”、“admminiistrratoor”、“supper

44、vvisoor”等特权权帐号或或高级别别权限帐帐号，应应该尽可可能地使使用低级级别权限限的操作作系统帐帐号。规则3.4.55：对于应应用程序序连接数数据库服服务器的的数据库库帐号，在满足业务需求的前提下，必须使用最低级别权限的数据库帐号。说明：根根据业务务系统要要求，创创建相应应的数据据库帐号号，并授授予必需需的数据据库权限限。不能能使用“sa”、“syssmann”等管理理帐号或或高级别别权限帐帐号。3.5 敏感数据据保护3.5.1 敏感数据据定义敏感数据据包括但但不限于于：口令令、密钥钥、证书书、会话话标识、License、隐私数据（如短消息的内容）、授权凭据、个人数据（如姓名、住址、电话

45、等）等，在程序文件、配置文件、日志文件、备份文件及数据库中都有可能包含敏感数据。3.5.2 敏感数据据存储规则3.5.22.1：禁止止在代码码中存储储敏感数数据。说明：禁禁止在代代码中存存储如数数据库连连接字符符串、口口令和密密钥之类类的敏感感数据，这这样容易易导致泄泄密。用用于加密密密钥的的密钥可可以硬编编码在代代码中。规则3.5.22.2：禁止密密钥或帐帐号的口口令以明明文形式式存储在在数据库库或者文文件中。说明：密密钥或帐帐号的口口令必须须经过加加密存储储。例外外情况，如如果Weeb容器器的配置置文件中中只能以以明文方方式配置置连接数数据库的的用户名名和口令令，那么么就不用用强制遵遵循该

46、规规则，将将该配置文文件的属属性改为为只有属属主可读读写。规则3.5.22.3：禁止在 coookiee 中以以明文形形式存储敏感数数据。说明：ccookkie信信息容易易被窃取取，尽量量不要在在coookiee中存储储敏感数数据；如果条条件限制制必须使使用coookiie存储储敏感信信息时，必必须先对对敏感信信息加密密再存储储到coookiie。规则3.5.22.4：禁止在在隐藏域域中存放明文文形式的的敏感数数据。规则3.5.2.5：禁止用自自己开发发的加密密算法，必须使用公开、安全的标准加密算法。实施指导导：场景 11：后台台服务端端保存数数据库的的登录口口令后台服务务器登录录数据库库需要使使用登录录数据库库的明文文口令，此此时后台台服务器器加密保保存该口口令后，下下次登录录时需要要还原成成明文，因因此，在在这种情情况下，不不可用不不可逆的的加密算算法，而而需要使使用对称称加密算算法或者者非对称称加密算算法，一一般也不不建议采采用非对对称加密密算法。推荐的对对称加密密算法：AESS1288、AEES1992、AAES2256。场景 22：后台