Web应用安全配置基线.pdf

Web 应用安全配置基线 Opsec.cn 2009 年 1 月 第 1 页 共 17 页 版本 版本控制信息 更新日期 更新人 审批人 V 1.0 创建 2009 年 1 月 备注： 1. 若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。 第 2 页 共 17 页 目 录 第1 章 概述5 1.1 目的5 1.2 适用范围5 1.3 适用版本5 1.4 实施5 第2 章 身份与访问控制6 2.1 账户锁定策略6 2.2 登录用图片验证码6 2.3 口令传输6 2.4 保存登录功能7 2.5 纵向访问控制7 2.6 横向访问控制7 2.7 敏感资源的访问8 第3 章 会话管理9 3.1 会话超时9 3.2 会话终止9 3.3 会话标识9 3.4 会话标识复用 10 第4 章 代码质量 11 4.1 防范跨站脚本攻击 11 4.2 防范SQL 注入攻击 11 4.3 防止路径遍历攻击 11 4.4 防止命令注入攻击 12 4.5 防止其他常见的注入攻击 12 4.6 防止下载敏感资源文件 13 4.7 防止上传后门脚本 13 4.8 保证多线程安全 13 4.9 保证释放资源 14 第5 章 内容管理 15 5.1 加密存储敏感信息 15 5.2 避免泄露敏感技术细节 15 第6 章 防钓鱼与防垃圾邮件 16 6.1 防钓鱼 16 6.2 防垃圾邮件 16 第7 章 密码算法 17 7.1 安全算法 17 7.2 密钥管理 17 第 3 页 共 17 页 第 4 页 共 17 页 第1章概述 1.1 目的 本文档规定了所有IT 基础设施范围内所有Web 应用应当遵循的安全标准，本文档旨在 指导系统管理人员进行Web 应用安全基线检查。 1.2 适用范围 本配置标准的使用者包括：服务器系统管理员、应用程序管理员、网络安全管理员。 本配置标准适用的范围包括：支持所有业务正常运营的Web 应用系统。 1.3 适用版本 基于B/S 架构的Web 应用 1.4 实施 本标准的解释权和修改权属于Opsec.cn，在本标准的执行过程中若有任何疑问或建议， 应及时反馈。 第 5 页 共 17 页 第2章 身份与访问控制 2.1 账户锁定策略 安全基线项 Web 应用账户锁定策略安全基线要求项 目名称 安全基线编 编号 SBL-WebAPP-02-01-01 重要 号 安全基线项 用户登录失败一定次数后系统自动锁定账号一段时间，以防止暴力猜测密码。 说明 检测操作步 尝试使用错误用户名口令失败登录多次， 骤 基线符合性 用户登录失败一定次数后系统自动锁定账号。 判定依据 备注 2.2 登录用图片验证码 安全基线项 Web