Web应用安全系统基线.docx

1、Web应用安全系统基线Web应用安全配置基线版本版本控制信息更新日期更新人审批人创建2009年1月更新2012年4月备注：1.假如此文档需要日后更新，请创建人填写版本控制表格，否如此删除版本控制表格。第1章概述1.1目的本文档旨在指导系统管理人员进展Web应用安全基线检查。1.2适用X围本配置标准的使用者包括：服务器系统管理员、应用程序管理员、网络安全管理员。1.3适用版本基于B/S架构的Web应用1.4实施1.5例外条款第2章身份与访问控制2.1账户锁定策略安全基线项目名称Web应用账户锁定策略安全基线要求项安全基线编号 SBL-WebAPP-02-01-01安全基线项说明 用户登录失败一定

2、次数后系统自动锁定账号一段时间，以防止暴力猜想密码。检测操作步骤尝试使用错误用户名口令失败登录屡次，基线符合性判定依据用户登录失败一定次数后系统自动锁定账号。备注2.2登录用图片验证码安全基线项目名称Web应用登录验证策略安全基线要求项安全基线编号 SBL-WebAPP-02-02-01安全基线项说明 用户登录需提供图片验证码，以防止固定密码暴力猜想账号。检测操作步骤检查登录认证界面输入项，并右键点击图片查看属性。基线符合性判定依据要求包含图片验证码输入项，并且图片属性不得包含明文图片验证码。备注2.3口令传输安全基线项目名称Web应用口令传输策略安全基线要求项安全基线编号 SBL-WebAP

3、P-02-03-01安全基线项说明 不能明文传输用户登录密码。检测操作步骤尝试登录系统，并使用抓包工具查看交互过程中在网络传输的内容。基线符合性判定依据要求不得出现明文口令备注2.4保存登录功能安全基线项目名称Web应用保存登录安全基线要求项安全基线编号 SBL-WebAPP-02-04-01安全基线项说明 不能提供“保存登录功能，该功能可能被利用于CSRF攻击。检测操作步骤检查登录界面是否提供了保存登录功能基线符合性判定依据不得提供该功能。备注2.5纵向访问控制安全基线项目名称Web应用纵向访问安全基线要求项安全基线编号 SBL-WebAPP-02-05-01安全基线项说明 合理进展纵向访问

4、控制，不允许普通用户访问管理功能。检测操作步骤了解是否有不允许普通用户访问的功能，尝试直接在浏览器中访问功能。基线符合性判定依据用户不得跨权限访问受控页面备注2.6横向访问控制安全基线项目名称Web应用横向访问安全基线要求项安全基线编号 SBL-WebAPP-02-06-01安全基线项说明 合理进展横向访问控制，不允许用户访问其他用户的敏感数据。检测操作步骤了解是否存在敏感信息，检查是否对个人敏感信息进展了有效保护基线符合性判定依据用户不得跨权限查看其它用户受保护敏感信息备注2.7敏感资源的访问安全基线项目名称Web应用敏感资源访问安全基线要求项安全基线编号 SBL-WebAPP-02-07-

5、01安全基线项说明 需要限制对敏感资源的访问，例如后台管理，日志记录等。检测操作步骤检查服务器的文件是否存在敏感资源，测试是否限制了这些资源的访问。基线符合性判定依据对敏感资源的访问应当受控。备注第3章会话管理3.1会话超时安全基线项目名称Web应用会话超时安全基线要求项安全基线编号 SBL-WebAPP-03-01-01安全基线项说明 当用户长时间不操作时，系统自动终止超时会话。检测操作步骤登录系统后不操作，等待合理的时间间隔。基线符合性判定依据要求预先设计的时间间隔后查看页面自动中止超时会话。备注3.2会话终止安全基线项目名称Web应用会话终止安全基线要求项安全基线编号 SBL-WebAP

6、P-03-02-01安全基线项说明 系统需提供“退出功能，允许用户强制终止当前的会话。检测操作步骤登录系统后点击系统提供的“退出功能，然后在同一IE窗口下视图回退到登录后的页面，并访问相应的功能基线符合性判定依据点击退出后，上述检测操作结果不成功备注3.3会话标识安全基线项目名称Web应用会话标识安全基线要求项安全基线编号 SBL-WebAPP-03-03-01安全基线项说明 会话标识必须足够随机，防止攻击者猜想标识或依据当前标识推导后续的标识。检测操作步骤检查多个会话标识的格式。基线符合性判定依据多个会话标识不得存在简单明了的逻辑关系，要求具有随机性备注3.4会话标识复用安全基线项目名称We

7、b应用会话标识复用安全基线要求项安全基线编号 SBL-WebAPP-03-04-01安全基线项说明 用户登录后必须分配新的会话标识，不能继续使用用户未登录前所使用的标识。检测操作步骤检查登录前后是否使用一样的会话标识。基线符合性判定依据用户登录后必须分配新的会话标识，不能继续使用用户未登录前所使用的标识。备注第4章代码质量4.1防X跨站脚本攻击安全基线项目名称Web应用防X跨站脚本安全基线要求项安全基线编号 SBL-WebAPP-04-01-01安全基线项说明 系统要防止将用户输入未经检查就直接输出到用户浏览器，防X跨站脚本攻击。检测操作步骤检查系统是否存在跨站脚本攻击漏洞。例如在能够回显的输

8、入框输入alert(“xss)基线符合性判定依据要求系统能够将输入内容中的控制字当作纯文本内容处理备注4.2防XSQL注入攻击安全基线项目名称Web应用防XSQL注入安全基线要求项安全基线编号 SBL-WebAPP-04-02-01安全基线项说明 系统要防止将用户输入未经检查就用于构造数据库查询，防XSQL注入攻击。检测操作步骤检查系统是否存在SQL注入漏洞。例如在输入框中输入基线符合性判定依据系统要使用诸如prepared statement等方式防止SQL注入，将输入内容中的控制字也当作纯文本处理备注4.3防止路径遍历攻击安全基线项目名称Web应用防X路径遍历安全基线要求项安全基线编号 S

9、BL-WebAPP-04-03-01安全基线项说明 系统要防止将用户输入未经检查就用于构造文件路径，防止路径遍历攻击。检测操作步骤尝试在URL与输入中构造文件路径并查看页面反响基线符合性判定依据不允许通过构造文件路径的方式直接查看文件备注4.4防止命令注入攻击安全基线项目名称Web应用防X命令注入安全基线要求项安全基线编号 SBL-WebAPP-04-04-01安全基线项说明 系统要防止将用户输入未经检查就用于构造操作系统命令并执行。检测操作步骤尝试在各个输入点进展命令注入攻击基线符合性判定依据命令注入攻击不得成功备注4.5防止其他常见的注入攻击安全基线项目名称Web应用防X其它注入安全基线要

10、求项安全基线编号 SBL-WebAPP-04-05-01安全基线项说明 防止系统存在LDAP注入、XML注入、XPATH注入、SMTP注入等漏洞。检测操作步骤尝试在各个输入点进展其它常见注入攻击基线符合性判定依据各类注入攻击不得成功备注4.6防止下载敏感资源文件安全基线项目名称Web应用防X下载漏洞安全基线要求项安全基线编号 SBL-WebAPP-04-06-01安全基线项说明 如果系统提供了下载功能，要防止用户通过路径遍历漏洞下载敏感资源文件。检测操作步骤如果系统提供了下载功能，试图通过路径遍历漏洞下载敏感资源文件。基线符合性判定依据各类下载攻击不得成功备注4.7防止上传后门脚本安全基线项目

11、名称Web应用防X上传漏洞安全基线要求项安全基线编号 SBL-WebAPP-04-07-01安全基线项说明 如果系统提供了文件上传功能，要防止用户上传后门脚本。检测操作步骤如果系统提供了上传功能，试图通过上传功能上传恶意文件。基线符合性判定依据各类上传攻击不得成功备注4.8保证多线程安全安全基线项目名称Web应用多线程安全基线要求项安全基线编号 SBL-WebAPP-04-08-01安全基线项说明 如果系统某资源可被多人同时修改，或被同一用户经过不同的方式同时修改，或被用户线程与系统线程同时修改，需要保证多线程安全。检测操作步骤如果系统存在多线程问题，分析保护多线程访问资源的安全解决方案基线符

12、合性判定依据必须有适当的解决方案备注4.9保证释放资源安全基线项目名称Web应用释放资源基线要求项安全基线编号 SBL-WebAPP-04-09-01安全基线项说明 系统需保证在正常与异常流程时都能正确释放不需要的资源，例如打开的文件，数据库连接等。检测操作步骤分析正常与异常流程中资源释放的动作基线符合性判定依据资源释放覆盖所有流程分支备注第5章内容管理5.1加密存储敏感信息安全基线项目名称Web应用加密存储敏感信息基线要求项安全基线编号 SBL-WebAPP-05-01-01安全基线项说明 系统应当加密存储敏感信息，如密码、信用卡号等。检测操作步骤分析系统中敏感信息的存储与加密基线符合性判定

13、依据要求加密算法安全，对信息有适当访问控制备注5.2防止泄露敏感技术细节安全基线项目名称Web应用信息泄漏基线要求项安全基线编号 SBL-WebAPP-05-02-01安全基线项说明 系统应当防止向用户提示过多的技术细节，防止被攻击者利用。例如错误信息中可能包含SQL语句，这有利于攻击者构造合法的攻击字串；又如Html中可能包含了技术性的注释语句，可能被攻击者利用。检测操作步骤分析各个页面的源码，查看提示页面，尤其是出错提示页面基线符合性判定依据各个页面不得包含技术性注释，各个提示页面不得包含Web服务器版本、源代码等信息备注第6章防钓鱼与防垃圾6.1防钓鱼安全基线项目名称Web应用重定向基线

14、要求项安全基线编号 SBL-WebAPP-06-01-01安全基线项说明 系统应当防止通过用户控制的参数来重定向或包含另外一个的内容。检测操作步骤分析系统存在任意重定向或包含其它内容的控制基线符合性判定依据不得由用户控制的参数生成重定向备注6.2防垃圾安全基线项目名称Web应用垃圾基线要求项安全基线编号 SBL-WebAPP-06-02-01安全基线项说明 如果系统提供了发送的功能，应当防止被利用于发送垃圾。检测操作步骤检查系统发送功能基线符合性判定依据不得存在滥用此功能的可能备注第7章密码算法7.1安全算法安全基线项目名称Web应用安全算法基线要求项安全基线编号 SBL-WebAPP-07-01-01安全基线项说明 如果系统采用了密码算法，应当采用安全的密码算法，且符合算法的应用场景。检测操作步骤检查所有系统中使用的安全算法基线符合性判定依据不得使用已经被证明为不安全的算法或者自定义不安全算法备注7.2密钥管理安全基线项目名称Web应用密钥管理基线要求项安全基线编号 SBL-WebAPP-07-02-01安全基线项说明 如果系统采用了密码算法，且拥有密钥，那么应当有文档化的密钥管理方法并严格遵照执行。检测操作步骤检查所有系统中使用的密钥管理基线符合性判定依据不得使用不安全的密钥管理方法备注第8章评审与修订