Web应用安全基线要点.docx

1、Web应用安全基线要点Web应用安全配置基线版本版本控制信息更新日期更新人审批人V1.0创建2009年1月V2.0更新2012年4月备注：1. 若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。目 录第1章 概述 51.1 目的 51.2 适用范围 51.3 适用版本 51.4 实施 51.5 例外条款 5第2章 身份与访问控制 62.1 账户锁定策略 62.2 登录用图片验证码 62.3 口令传输 62.4 保存登录功能 72.5 纵向访问控制 72.6 横向访问控制 72.7 敏感资源的访问 8第3章 会话管理 93.1 会话超时 93.2 会话终止 93.3 会话标识

2、 93.4 会话标识复用 10第4章 代码质量 114.1 防范跨站脚本攻击 114.2 防范SQL注入攻击 114.3 防止路径遍历攻击 114.4 防止命令注入攻击 124.5 防止其他常见的注入攻击 124.6 防止下载敏感资源文件 134.7 防止上传后门脚本 134.8 保证多线程安全 134.9 保证释放资源 14第5章 内容管理 155.1 加密存储敏感信息 155.2 避免泄露敏感技术细节 15第6章 防钓鱼与防垃圾邮件 166.1 防钓鱼 166.2 防垃圾邮件 16第7章 密码算法 177.1 安全算法 177.2 密钥管理 17第8章 评审与修订 18第1章 概述1.1

3、目的本文档旨在指导系统管理人员进行Web应用安全基线检查。1.2 适用范围本配置标准的使用者包括：服务器系统管理员、应用程序管理员、网络安全管理员。1.3 适用版本基于B/S架构的Web应用1.4 实施1.5 例外条款第2章 身份与访问控制2.1 账户锁定策略安全基线项目名称Web应用账户锁定策略安全基线要求项安全基线编号 SBL-WebAPP-02-01-01安全基线项说明 用户登录失败一定次数后系统自动锁定账号一段时间，以防止暴力猜测密码。检测操作步骤尝试使用错误用户名口令失败登录多次，基线符合性判定依据用户登录失败一定次数后系统自动锁定账号。备注2.2 登录用图片验证码安全基线项目名称W

4、eb应用登录验证策略安全基线要求项安全基线编号 SBL-WebAPP-02-02-01安全基线项说明 用户登录需提供图片验证码，以防止固定密码暴力猜测账号。检测操作步骤检查登录认证界面输入项，并右键点击图片查看链接属性。基线符合性判定依据要求包含图片验证码输入项，并且图片链接属性不得包含明文图片验证码。备注2.3 口令传输安全基线项目名称Web应用口令传输策略安全基线要求项安全基线编号 SBL-WebAPP-02-03-01安全基线项说明 不能明文传输用户登录密码。检测操作步骤尝试登录系统，并使用抓包工具查看交互过程中在网络传输的内容。基线符合性判定依据要求不得出现明文口令备注2.4 保存登录

5、功能安全基线项目名称Web应用保存登录安全基线要求项安全基线编号 SBL-WebAPP-02-04-01安全基线项说明 不能提供“保存登录”功能，该功能可能被利用于CSRF攻击。检测操作步骤检查登录界面是否提供了保存登录功能基线符合性判定依据不得提供该功能。备注2.5 纵向访问控制安全基线项目名称Web应用纵向访问安全基线要求项安全基线编号 SBL-WebAPP-02-05-01安全基线项说明 合理进行纵向访问控制，不允许普通用户访问管理功能。检测操作步骤了解是否有不允许普通用户访问的功能，尝试直接在浏览器中访问功能链接。基线符合性判定依据用户不得跨权限访问受控页面备注2.6 横向访问控制安全

6、基线项目名称Web应用横向访问安全基线要求项安全基线编号 SBL-WebAPP-02-06-01安全基线项说明 合理进行横向访问控制，不允许用户访问其他用户的敏感数据。检测操作步骤了解是否存在敏感信息，检查是否对个人敏感信息进行了有效保护基线符合性判定依据用户不得跨权限查看其它用户受保护敏感信息备注2.7 敏感资源的访问安全基线项目名称Web应用敏感资源访问安全基线要求项安全基线编号 SBL-WebAPP-02-07-01安全基线项说明 需要限制对敏感资源的访问，例如后台管理，日志记录等。检测操作步骤检查服务器的文件是否存在敏感资源，测试是否限制了这些资源的访问。基线符合性判定依据对敏感资源的

7、访问应当受控。备注第3章 会话管理3.1 会话超时安全基线项目名称Web应用会话超时安全基线要求项安全基线编号 SBL-WebAPP-03-01-01安全基线项说明 当用户长时间不操作时，系统自动终止超时会话。检测操作步骤登录系统后不操作，等待合理的时间间隔。基线符合性判定依据要求预先设计的时间间隔后查看页面自动中止超时会话。备注3.2 会话终止安全基线项目名称Web应用会话终止安全基线要求项安全基线编号 SBL-WebAPP-03-02-01安全基线项说明 系统需提供“退出”功能，允许用户强制终止当前的会话。检测操作步骤登录系统后点击系统提供的“退出”功能，然后在同一IE窗口下视图回退到登录

8、后的页面，并访问相应的功能基线符合性判定依据点击退出后，上述检测操作结果不成功备注3.3 会话标识安全基线项目名称Web应用会话标识安全基线要求项安全基线编号 SBL-WebAPP-03-03-01安全基线项说明 会话标识必须足够随机，防止攻击者猜测标识或依据当前标识推导后续的标识。检测操作步骤检查多个会话标识的格式。基线符合性判定依据多个会话标识不得存在简单明了的逻辑关系，要求具有随机性备注3.4 会话标识复用安全基线项目名称Web应用会话标识复用安全基线要求项安全基线编号 SBL-WebAPP-03-04-01安全基线项说明 用户登录后必须分配新的会话标识，不能继续使用用户未登录前所使用的

9、标识。检测操作步骤检查登录前后是否使用相同的会话标识。基线符合性判定依据用户登录后必须分配新的会话标识，不能继续使用用户未登录前所使用的标识。备注第4章 代码质量4.1 防范跨站脚本攻击安全基线项目名称Web应用防范跨站脚本安全基线要求项安全基线编号 SBL-WebAPP-04-01-01安全基线项说明 系统要防止将用户输入未经检查就直接输出到用户浏览器，防范跨站脚本攻击。检测操作步骤检查系统是否存在跨站脚本攻击漏洞。例如在能够回显的输入框输入alert(“xss”)基线符合性判定依据要求系统能够将输入内容中的控制字当作纯文本内容处理备注4.2 防范SQL注入攻击安全基线项目名称Web应用防范

10、SQL注入安全基线要求项安全基线编号 SBL-WebAPP-04-02-01安全基线项说明 系统要防止将用户输入未经检查就用于构造数据库查询，防范SQL注入攻击。检测操作步骤检查系统是否存在SQL注入漏洞。例如在输入框中输入基线符合性判定依据系统要使用诸如prepared statement等方式防止SQL注入，将输入内容中的控制字也当作纯文本处理备注4.3 防止路径遍历攻击安全基线项目名称Web应用防范路径遍历安全基线要求项安全基线编号 SBL-WebAPP-04-03-01安全基线项说明 系统要防止将用户输入未经检查就用于构造文件路径，防止路径遍历攻击。检测操作步骤尝试在URL与输入中构造

11、文件路径并查看页面反应基线符合性判定依据不允许通过构造文件路径的方式直接查看文件备注4.4 防止命令注入攻击安全基线项目名称Web应用防范命令注入安全基线要求项安全基线编号 SBL-WebAPP-04-04-01安全基线项说明 系统要防止将用户输入未经检查就用于构造操作系统命令并执行。检测操作步骤尝试在各个输入点进行命令注入攻击基线符合性判定依据命令注入攻击不得成功备注4.5 防止其他常见的注入攻击安全基线项目名称Web应用防范其它注入安全基线要求项安全基线编号 SBL-WebAPP-04-05-01安全基线项说明 防止系统存在LDAP注入、XML注入、XPATH注入、SMTP注入等漏洞。检测

12、操作步骤尝试在各个输入点进行其它常见注入攻击基线符合性判定依据各类注入攻击不得成功备注4.6 防止下载敏感资源文件安全基线项目名称Web应用防范下载漏洞安全基线要求项安全基线编号 SBL-WebAPP-04-06-01安全基线项说明 如果系统提供了下载功能，要防止用户通过路径遍历漏洞下载敏感资源文件。检测操作步骤如果系统提供了下载功能，试图通过路径遍历漏洞下载敏感资源文件。基线符合性判定依据各类下载攻击不得成功备注4.7 防止上传后门脚本安全基线项目名称Web应用防范上传漏洞安全基线要求项安全基线编号 SBL-WebAPP-04-07-01安全基线项说明 如果系统提供了文件上传功能，要防止用户

13、上传后门脚本。检测操作步骤如果系统提供了上传功能，试图通过上传功能上传恶意文件。基线符合性判定依据各类上传攻击不得成功备注4.8 保证多线程安全安全基线项目名称Web应用多线程安全基线要求项安全基线编号 SBL-WebAPP-04-08-01安全基线项说明 如果系统某资源可被多人同时修改，或被同一用户经过不同的方式同时修改，或被用户线程与系统线程同时修改，需要保证多线程安全。检测操作步骤如果系统存在多线程问题，分析保护多线程访问资源的安全解决方案基线符合性判定依据必须有适当的解决方案备注4.9 保证释放资源安全基线项目名称Web应用释放资源基线要求项安全基线编号 SBL-WebAPP-04-0

14、9-01安全基线项说明 系统需保证在正常与异常流程时都能正确释放不需要的资源，例如打开的文件，数据库连接等。检测操作步骤分析正常与异常流程中资源释放的动作基线符合性判定依据资源释放覆盖所有流程分支备注第5章 内容管理5.1 加密存储敏感信息安全基线项目名称Web应用加密存储敏感信息基线要求项安全基线编号 SBL-WebAPP-05-01-01安全基线项说明 系统应当加密存储敏感信息，如密码、信用卡号等。检测操作步骤分析系统中敏感信息的存储与加密基线符合性判定依据要求加密算法安全，对信息有适当访问控制备注5.2 避免泄露敏感技术细节安全基线项目名称Web应用信息泄漏基线要求项安全基线编号 SBL

15、-WebAPP-05-02-01安全基线项说明 系统应当避免向用户提示过多的技术细节，防止被攻击者利用。例如错误信息中可能包含SQL语句，这有利于攻击者构造合法的攻击字串；又如Html中可能包含了技术性的注释语句，可能被攻击者利用。检测操作步骤分析各个页面的源码，查看提示页面，尤其是出错提示页面基线符合性判定依据各个页面不得包含技术性注释，各个提示页面不得包含Web服务器版本、源代码等信息备注第6章 防钓鱼与防垃圾邮件6.1 防钓鱼安全基线项目名称Web应用重定向基线要求项安全基线编号 SBL-WebAPP-06-01-01安全基线项说明 系统应当避免通过用户控制的参数来重定向或包含另外一个网

16、站的内容。检测操作步骤分析系统存在任意重定向或包含其它网站内容的控制基线符合性判定依据不得由用户控制的参数生成重定向备注6.2 防垃圾邮件安全基线项目名称Web应用垃圾邮件基线要求项安全基线编号 SBL-WebAPP-06-02-01安全基线项说明 如果系统提供了发送邮件的功能，应当防止被利用于发送垃圾邮件。检测操作步骤检查系统发送邮件功能基线符合性判定依据不得存在滥用此功能的可能备注第7章 密码算法7.1 安全算法安全基线项目名称Web应用安全算法基线要求项安全基线编号 SBL-WebAPP-07-01-01安全基线项说明 如果系统采用了密码算法，应当采用安全的密码算法，且符合算法的应用场景。检测操作步骤检查所有系统中使用的安全算法基线符合性判定依据不得使用已经被证明为不安全的算法或者自定义不安全算法备注7.2 密钥管理安全基线项目名称Web应用密钥管理基线要求项安全基线编号 SBL-WebAPP-07-02-01安全基线项说明 如果系统采用了密码算法，且拥有密钥，那么应当有文档化的密钥管理办法并严格遵照执行。检测操作步骤检查所有系统中使用的密钥管理基线符合性判定依据不得使用不安全的密钥管理办法备注第8章 评审与修订