Web應用安全配置基線

Web應用安全配置基線1=中國移動通信有限公司管理信息系統(tǒng)部2009年3月

版本版本控制信息更新日期更新人審批人V1.0創(chuàng)建2009年1月備注：1.若此文檔需要日后更新，請創(chuàng)建人填寫版本控制表格，否則刪除版本控制表格。目錄TOC\o"1-5"\h\z\o"CurrentDocument"第1章概述 5目的 5適用范圍 5\o"CurrentDocument"適用版本 5實施 5\o"CurrentDocument"例外條款 5\o"CurrentDocument"第2章身份與訪問控制 6\o"CurrentDocument"賬戶鎖定策略 6\o"CurrentDocument"登錄用圖片驗證碼 6口令傳輸 6\o"CurrentDocument"保存登錄功能 7\o"CurrentDocument"縱向訪問控制 7\o"CurrentDocument"橫向訪問控制 7敏感資源的訪問 8\o"CurrentDocument"第3章會話管理 9\o"CurrentDocument"會話超時 9\o"CurrentDocument"會話終止 9\o"CurrentDocument"會話標識 9會話標識復用 10\o"CurrentDocument"第4章代碼質量 11\o"CurrentDocument"防范跨站腳本攻擊 11\o"CurrentDocument"防范SQL注入攻擊 11\o"CurrentDocument"防止路徑遍歷攻擊 11\o"CurrentDocument"防止命令注入攻擊 12防止代碼注入攻擊 錯誤!未定義書簽。\o"CurrentDocument"防止其他常見的注入攻擊 12\o"CurrentDocument"防止下載敏感資源文件 13\o"CurrentDocument"防止用戶上傳后門腳本 13\o"CurrentDocument"保證多線程安全 13保證釋放資源 14\o"CurrentDocument"第5章內容管理 15\o"CurrentDocument"加密存儲敏感信息 15避免敏感文件下載 錯誤!未定義書簽。\o"CurrentDocument"避免泄露敏感技術細節(jié) 15\o"CurrentDocument"第6章 防釣魚與防垃圾郵件 16\o"CurrentDocument"防釣魚 16\o"CurrentDocument"防垃圾郵件 16\o"CurrentDocument"第7章 密碼算法 17\o"CurrentDocument"安全算法 17\o"CurrentDocument"密鑰管理 17第8章 系統(tǒng)日志 錯誤!未定義書簽。日志內容 錯誤!未定義書簽。日志保護 錯誤!未定義書簽。第9章 安裝配置 錯誤!未定義書簽。組件漏洞 錯誤!未定義書簽。組件缺省賬號密碼 錯誤!未定義書簽。組件操作系統(tǒng)賬號 錯誤!未定義書簽。組件安全加固 錯誤!未定義書簽。語言設置 錯誤!未定義書簽。DMZ安全隔離 錯誤!未定義書簽。數(shù)據(jù)庫服務器安全隔離 錯誤!未定義書簽。WAF使用 錯誤!未定義書簽。文件完整性監(jiān)控 錯誤!未定義書簽。防病毒軟件 錯誤!未定義書簽。第10章 安全維護 錯誤!未定義書簽。10.1 物理安全 錯誤!未定義書簽。第11章 評審與修訂 18第1章概述1.1目的本文檔規(guī)定了中國移動通信有限公司管理信息系統(tǒng)部門所維護管理的Web應用服務器應當遵循的安全標準，本文檔旨在指導系統(tǒng)管理人員進行Web應用安全基線檢查。1.2適用范本配置標準的使用者包括：服務器系統(tǒng)管理員、應用程序管理員、網絡安全管理員。本配置標準適用的范圍包括：中國移動總部和各省公司信息化部門所維護管理的Web應用系統(tǒng)。1.3適用版本基于B/S架構的Web應用1.4實施本標準的解釋權和修改權屬于中國移動通信有限公司管理信息系統(tǒng)部。在本標準的執(zhí)行過程中若有任何疑問或建議，應及時反饋。本標準發(fā)布之日起生效。1.5例外條款欲申請本標準的例外條款，申請人必須準備書面申請文件，說明業(yè)務需求和原因，送交中國移動通信有限公司管理信息系統(tǒng)部進行審批備案。

第2章身份與訪問控制2.1賬戶鎖定策略安全基線項目名稱Web應用賬戶鎖定策略安全基線要求項安全基線編號SBL-WebAPP-02-01-01安全基線項說明用戶登錄失敗一定次數(shù)后系統(tǒng)自動鎖定賬號一段時間，以防止暴力猜測密碼。檢測操作步驟嘗試使用錯誤用戶名口令失敗登錄多次，基線符合性判定依據(jù)用戶登錄失敗一定次數(shù)后系統(tǒng)自動鎖定賬號。備注2.2登錄用圖片驗證碼安全基線項目名稱Web應用登錄驗證策略安全基線要求項安全基線編號SBL-WebAPP-02-02-01安全基線項說明用戶登錄需提供圖片驗證碼，以防止固定密碼暴力猜測賬號。檢測操作步驟檢查登錄認證界面輸入項，并右鍵點擊圖片查看鏈接屬性?；€符合性判定依據(jù)要求包含圖片驗證碼輸入項，并且圖片鏈接屬性不得包含明文圖片驗證碼。備注2.3口令傳輸安全基線項目名稱Web應用口令傳輸策略安全基線要求項安全基線編號SBL-WebAPP-02-03-01

安全基線項說明不能明文傳輸用戶登錄密碼。檢測操作步驟嘗試登錄系統(tǒng)，并使用抓包工具查看交互過程中在網絡傳輸?shù)膬热?。基線符合性判定依據(jù)要求不得出現(xiàn)明文口令備注2.4保存登錄功能安全基線項目名稱Web應用保存登錄安全基線要求項安全基線編號SBL-WebAPP-02-04-01安全基線項說明不能提供“保存登錄”功能，該功能可能被利用于CSRF攻擊。檢測操作步驟檢查登錄界面是否提供了保存登錄功能基線符合性判定依據(jù)不得提供該功能。備注2.5縱向訪問控制安全基線項目名稱Web應用縱向訪問安全基線要求項安全基線編號SBL-WebAPP-02-05-01安全基線項說明合理進行縱向訪問控制，不允許普通用戶訪問管理功能。檢測操作步驟了解是否有不允許普通用戶訪問的功能，嘗試直接在瀏覽器中訪問功能鏈接?；€符合性判定依據(jù)用戶不得跨權限訪問受控頁面?zhèn)渥?.6橫向訪問控制安全基線項

目名稱Web應用橫向訪問安全基線要求項安全基線項

目名稱Web應用橫向訪問安全基線要求項安全基線編號SBL-WebAPP-02-06-01安全基線項說明合理進行橫向訪問控制，不允許用戶訪問其他用戶的敏感數(shù)據(jù)。檢測操作步驟了解是否存在敏感信息，檢查是否對個人敏感信息進行了有效保護基線符合性判定依據(jù)用戶不得跨權限查看其它用戶受保護敏感信息備注2.7敏感資源的訪問安全基線項目名稱Web應用敏感資源訪問安全基線要求項安全基線編號SBL-WebAPP-02-07-01安全基線項說明需要限制對敏感資源的訪問，例如后臺管理，日志記錄等。檢測操作步驟檢查服務器的文件是否存在敏感資源，測試是否限制了這些資源的訪問?；€符合性判定依據(jù)對敏感資源的訪問應當受控。備注第3章會話管理3.1會話超時安全基線項目名稱Web應用會話超時安全基線要求項安全基線編號SBL-WebAPP-03-01-01安全基線項說明當用戶長時間不操作時，系統(tǒng)自動終止超時會話。檢測操作步驟登錄系統(tǒng)后不操作，等待合理的時間間隔?；€符合性判定依據(jù)要求預先設計的時間間隔后查看頁面自動中止超時會話。備注3.2會話終止安全基線項目名稱Web應用會話終止安全基線要求項安全基線編號SBL-WebAPP-03-02-01安全基線項說明系統(tǒng)需提供“退出”功能，允許用戶強制終止當前的會話。檢測操作步驟登錄系統(tǒng)后點擊系統(tǒng)提供的“退出”功能，然后在同一IE窗口下視圖回退到登錄后的頁面，并訪問相應的功能基線符合性判定依據(jù)點擊退出后，上述檢測操作結果不成功備注3.3會話標識安全基線項目名稱Web應用會話標識安全基線要求項安全基線編號SBL-WebAPP-03-03-01安全基線項會話標識必須足夠隨機，防止攻擊者猜測標識或依據(jù)當前標識推導后續(xù)的標

說明識。檢測操作步驟檢查多個會話標識的格式?；€符合性判定依據(jù)多個會話標識不得存在簡單明了的邏輯關系，要求具有隨機性備注3.4會話標識復用安全基線項目名稱Web應用會話標識復用安全基線要求項安全基線編號SBL-WebAPP-03-04-01安全基線項說明用戶登錄后必須分配新的會話標識，不能繼續(xù)使用用戶未登錄前所使用的標識。檢測操作步驟檢查登錄前后是否使用相同的會話標識?；€符合性判定依據(jù)用戶登錄后必須分配新的會話標識，不能繼續(xù)使用用戶未登錄前所使用的標識。備注第4章代碼質量4.1防范跨站腳本攻擊安全基線項目名稱Web應用防范跨站腳本安全基線要求項安全基線編號SBL-WebAPP-04-01-01安全基線項說明系統(tǒng)要防止將用戶輸入未經檢查就直接輸出到用戶瀏覽器，防范跨站腳本攻擊。CSRF檢測操作步驟檢查系統(tǒng)是否存在跨站腳本攻擊漏洞。例如在能夠回顯的輸入框輸入<script>alert("xss”)</script>基線符合性判定依據(jù)要求系統(tǒng)能夠將輸入內容中的控制字當作純文本內容處理備注4.2防范SQL注入攻擊安全基線項目名稱Web應用防范SQL注入安全基線要求項安全基線編號SBL-WebAPP-04-02-01安全基線項說明系統(tǒng)要防止將用戶輸入未經檢查就用于構造數(shù)據(jù)庫查詢，防范SQL注入攻擊。檢測操作步驟檢查系統(tǒng)是否存在SQL注入漏洞。例如在輸入框中輸入’基線符合性判定依據(jù)系統(tǒng)要使用諸如preparedstatement等方式防止SQL注入，將輸入內容中的控制字也當作純文本處理備注4.3防止路徑遍歷攻擊安全基線項目名稱Web應用防范路徑遍歷安全基線要求項安全基線編SBL-WebAPP-04-03-01

號安全基線項說明系統(tǒng)要防止將用戶輸入未經檢查就用于構造文件路徑，防止路徑遍歷攻擊。檢測操作步驟嘗試在URL與輸入中構造文件路徑并查看頁面反應基線符合性判定依據(jù)不允許通過構造文件路徑的方式直接查看文件備注4.4防止命令注入攻擊安全基線項目名稱Web應用防范命令注入安全基線要求項安全基線編號SBL-WebAPP-04-04-01安全基線項說明系統(tǒng)要防止將用戶輸入未經檢查就用于構造操作系統(tǒng)命令并執(zhí)行。檢測操作步驟嘗試在各個輸入點進行命令注入攻擊基線符合性判定依據(jù)命令注入攻擊不得成功備注4.5防止其他常見的注入攻擊安全基線項目名稱Web應用防范其它注入安全基線要求項安全基線編號SBL-WebAPP-04-05-01安全基線項說明防止系統(tǒng)存在LDAP注入、XML注入、XPATH注入、SMTP注入等漏洞。檢測操作步驟嘗試在各個輸入點進行其它常見注入攻擊基線符合性判定依據(jù)各類注入攻擊不得成功備注

4.6防止下載敏感資源文件安全基線項目名稱Web應用防范下載漏洞安全基線要求項安全基線編號SBL-WebAPP-04-06-01安全基線項說明如果系統(tǒng)提供了下載功能，要防止用戶通過路徑遍歷漏洞下載敏感資源文件。檢測操作步驟如果系統(tǒng)提供了下載功能，試圖通過路徑遍歷漏洞下載敏感資源文件?；€符合性判定依據(jù)各類下載攻擊不得成功備注4.7防止上傳后門腳本安全基線項目名稱Web應用防范上傳漏洞安全基線要求項安全基線編號SBL-WebAPP-04-07-01安全基線項說明如果系統(tǒng)提供了文件上傳功能，要防止用戶上傳后門腳本。檢測操作步驟如果系統(tǒng)提供了上傳功能，試圖通過上傳功能上傳惡意文件。基線符合性判定依據(jù)各類上傳攻擊不得成功備注4.8保證多線程安全安全基線項目名稱Web應用多線程安全基線要求項安全基線編號SBL-WebAPP-04-08-01安全基線項說明如果系統(tǒng)某資源可被多人同時修改，或被同一用戶經過不同的方式同時修改，或被用戶線程與系統(tǒng)線程同時修改，需要保證多線程安全。

檢測操作步驟如果系統(tǒng)存在多線程問題，分析保護多線程訪問資源的安全解決方案基線符合性判定依據(jù)必須有適當?shù)慕鉀Q方案備注4.9保證釋放資源安全基線項目名稱Web應用釋放資源基線要求項安全基線編號SBL-WebAPP-04-09-01安全基線項說明系統(tǒng)需保證在正常與異常流程時都能正確釋放不需要的資源，例如打開的文件，數(shù)據(jù)庫連接等。檢測操作步驟分析正常與異常流程中資源釋放的動作基線符合性判定依據(jù)資源釋放覆蓋所有流程分支備注第5章內容管理5.1加密存儲敏感信息安全基線項目名稱Web應用加密存儲敏感信息基線要求項安全基線編號SBL-WebAPP-05-01-01安全基線項說明系統(tǒng)應當加祚儲敏感信息，如密碼、信用卡號等。檢測操作步驟分析系統(tǒng)中敏感信息的存儲與加密基線符合性判定依據(jù)要求加密算法安全，對信息有適當訪問控制備注5.2避免泄露敏感技術細節(jié)安全基線項目名稱Web應用信息泄漏基線要求項安全基線編號SBL-WebAPP-05-02-01安全基線項說明系統(tǒng)應當避免向用戶提示過多的技術侖田節(jié)，防止被攻擊者利」用。例如錯誤信息中可能包含SQL語句，這有利于攻擊者構造合法的攻擊字串；又如Html中可能包含了技術性的注釋語句，可能被攻擊者利用。檢測操作步驟分析各個頁面的源碼，查看提示頁面，尤其是出錯提示頁面基線符合性判定依據(jù)各個頁面