安全技術(shù)規(guī)范樣本

資料內(nèi)容僅供您學(xué)習(xí)參考，如有不當(dāng)之處，請聯(lián)系改正或者刪除。安全設(shè)計規(guī)范(參考)

前端不能直接訪問數(shù)據(jù)庫,應(yīng)采取三層架構(gòu)(表現(xiàn)層、業(yè)務(wù)邏輯層、數(shù)據(jù)訪問層)通用

應(yīng)不信任、不依賴客戶端的安全控制措施,無論客戶端采取何種措施,服務(wù)器側(cè)都必須對用戶提交的數(shù)據(jù)進(jìn)行合法性檢測通用

登錄入口應(yīng)具有防止暴力猜解及撞庫猜解(利用已泄漏的密碼字典進(jìn)行嘗試)的措施,超過設(shè)定失敗次數(shù)需要啟用鎖定或CAPTCHA圖片隨機(jī)碼通用

用戶口令的主保護(hù)措施使用SHA256/SHA512/SHA-3或更高強(qiáng)度的散列算法,不使用MD5或SHA-1通用

交易/支付過程應(yīng)形成完整的證據(jù)鏈,待交易數(shù)據(jù)應(yīng)經(jīng)過發(fā)起方數(shù)字簽名通用

軟件升級/規(guī)則下發(fā)等數(shù)據(jù)分發(fā)過程,接收方應(yīng)驗證數(shù)據(jù)源的完整性(數(shù)字簽名/HASH等)通用

設(shè)計上支持SOD(SeperationofDuty權(quán)限分離),操作系統(tǒng)管理員、應(yīng)用管理員、數(shù)據(jù)庫管理員能夠由不同的人員擔(dān)任通用

軟件發(fā)布前應(yīng)經(jīng)過數(shù)字簽名客戶端

啟動時應(yīng)對軟件包所含的全部可執(zhí)行文件、庫、配置文件進(jìn)行完整性校驗,防止篡改或替換客戶端

客戶端與服務(wù)器建立會話前應(yīng)首先驗證服務(wù)器證書的合法性,防止用戶流量被劫持客戶端安全開發(fā)規(guī)范(參考)

前端不能直接訪問數(shù)據(jù)庫,應(yīng)采取三層架構(gòu)(表現(xiàn)層、業(yè)務(wù)邏輯層、數(shù)據(jù)訪問層)通用

登錄入口應(yīng)具有防止暴力猜解及撞庫猜解(利用已泄漏的密碼字典進(jìn)行嘗試)的措施,超過設(shè)定失敗次數(shù)需要啟用鎖定或CAPTCHA圖片隨機(jī)碼通用

應(yīng)不信任、不依賴客戶端的安全控制措施,無論客戶端采取何種措施,服務(wù)器側(cè)都必須對用戶提交的數(shù)據(jù)進(jìn)行合法性檢測通用

SQL語句應(yīng)使用預(yù)編譯和綁定變量的機(jī)制以實現(xiàn)SQL指令和參數(shù)的分離,不要拼接SQL語句,如有必須拼接的場景,應(yīng)對每個參數(shù)進(jìn)行合法性驗證,包括整型驗證、單引號的數(shù)據(jù)庫轉(zhuǎn)義(將單引號轉(zhuǎn)換為兩個單引號)等通用

對需要輸出到用戶瀏覽器的任何由用戶創(chuàng)造的內(nèi)容,應(yīng)在輸出到瀏覽器之前或持久化存儲之前進(jìn)行轉(zhuǎn)義(至少對<>轉(zhuǎn)義為<>)以防止跨站攻擊腳本(XSS)通用

針對交易或特權(quán)操作,應(yīng)防止跨站請求偽造,應(yīng)在框架層面為每個Form啟用隱藏屬性的CSRFToken,或者使用圖片CAPTCHA由用戶手工輸入,或者使用支付口令等措施,修改密碼須輸入原密碼,以防止跨站請求偽造(CSRF)通用

應(yīng)限定用戶上傳的附件類型,并對用戶提交的圖片/資源進(jìn)行二次渲染(或添加水印/格式轉(zhuǎn)換等)以破壞其原有結(jié)構(gòu),防止引入有害文件(網(wǎng)頁木馬等)通用

不使用路徑或文件名作參數(shù)以防止目錄遍歷,不接受/不信任/不展示未經(jīng)驗證的外部圖片或資源鏈接通用

用戶口令的主保護(hù)措施使用SHA256/SHA512/SHA-3或更高強(qiáng)度的散列算法,不使用MD5或SHA-1通用

對敏感信息紀(jì)錄做適當(dāng)隱藏(如以星號代替部分信息),不發(fā)送/不展示完整的敏感信息,數(shù)據(jù)庫應(yīng)對敏感信息的部分字段進(jìn)行加密,確保泄露之后不能構(gòu)成完整的信息紀(jì)錄通用

交易/支付過程應(yīng)形成完整的證據(jù)鏈,待交易數(shù)據(jù)應(yīng)經(jīng)過發(fā)起方數(shù)字簽名通用

軟件升級/規(guī)則下發(fā)等數(shù)據(jù)分發(fā)過程,接收方應(yīng)驗證數(shù)據(jù)源的完整性(數(shù)字簽名/HASH等)通用

如條件滿足,建議使用代碼審計工具對代碼進(jìn)行掃描,無高危缺陷視為經(jīng)過通用

軟件開發(fā)工具均為直接從官方站點下載的正版軟件,而不是從第三方站點所獲取的客戶端

客戶端軟件所包含的開源組件均為安全穩(wěn)定版本,并直接從官方站點下載,而不是從第三方站點獲取客戶端

軟件發(fā)布前應(yīng)經(jīng)過數(shù)字簽名客戶端

啟動時應(yīng)對軟件包所含的全部可執(zhí)行文件、庫、配置文件進(jìn)行完整性校驗,防止篡改或替換客戶端

客戶端與服務(wù)器建立會話前應(yīng)首先驗證服務(wù)器證書的合法性,防止用戶流量被劫持客戶端

所有接受外部輸入的參數(shù),應(yīng)執(zhí)行邊界檢查,以防止緩沖區(qū)溢出客戶端安全測試規(guī)范(參考)

測試用例應(yīng)包含每個HTTP參數(shù)的SQL注入測試通用

測試用例應(yīng)包含每個HTTP參數(shù)的XSS測試通用

測試用例應(yīng)包含檢測到文件包含(FileInclusion,使用HTTP參數(shù)傳遞文件路徑或文件名)直接判定為不經(jīng)過通用

測試用例應(yīng)包含不同角色互相交換鏈接的權(quán)限測試,鏈接為對方無權(quán)訪問的鏈接通用

如Web應(yīng)用提供上傳功能,測試用例應(yīng)包含上傳網(wǎng)頁木馬的測試通用

測試用例應(yīng)包含檢測可能導(dǎo)致信息泄露的冗余備份文件,包括zip/tar/tar.gz等通用

如條件滿足,建議使用漏洞掃描工具(如WebCruiserWebVulnerabilityScanner等)對測試環(huán)境進(jìn)行掃描通用

軟件發(fā)布前應(yīng)經(jīng)過數(shù)字簽名客戶端

啟動時應(yīng)對軟件包所含的全部可執(zhí)行文件、庫、配置文件進(jìn)行完整性校驗,防止篡改或替換客戶端

客戶端與服務(wù)器建立會話前應(yīng)首先驗證服務(wù)器證書的合法性,防止用戶流量被劫持客戶端安全部署規(guī)范(參考)

應(yīng)配置Web服務(wù)器(Apache/Nginx等)以靜態(tài)方式展示用戶上傳的圖片資源,禁止應(yīng)用服務(wù)器(PHP/JSP/CGI等)動態(tài)展示用戶上傳的資源通用

禁止為后臺服務(wù)器(數(shù)據(jù)庫等)配置互聯(lián)網(wǎng)IP地址,僅使用局域網(wǎng)地址通用

禁止數(shù)據(jù)庫端口直接向互聯(lián)網(wǎng)開放通用

應(yīng)關(guān)閉不需要的服務(wù)/端口通用

配置網(wǎng)站HTTPS證書或其它加密傳輸措施通用

檢查各中間件(Web服務(wù)器軟件、框架、數(shù)據(jù)庫等)版本,確認(rèn)是安全/穩(wěn)定版本通用

如已建立內(nèi)部運(yùn)維通道,禁止后臺管理入口、運(yùn)維及遠(yuǎn)程控制端口向互聯(lián)網(wǎng)開放通用

禁止在應(yīng)用中配置使用數(shù)據(jù)庫超級賬號,應(yīng)為應(yīng)用配置專用賬號并授予合理的權(quán)限通用

回收修改操作系統(tǒng)賬號、數(shù)據(jù)庫賬號,以及其它外部集成賬號口令通用

確認(rèn)沒有使用空口令、弱口令、通用口令(多處重復(fù)使用同一個口令)通用

軟件發(fā)布前應(yīng)經(jīng)過數(shù)字簽名客戶端

禁止以root權(quán)限運(yùn)行業(yè)務(wù)邏輯(網(wǎng)站應(yīng)用層)通用

禁止在應(yīng)用層配置使用數(shù)據(jù)庫的超級管理員賬號通用

檢查確認(rèn)操作系統(tǒng)、數(shù)據(jù)庫以及所使用的所有中間件,已安裝最新的安全補(bǔ)丁通用人與人之間的距離雖然摸不著,看不見,但的的確確是一桿實實在在的秤。真與假,善與惡,美與丑,盡在秤桿上能夠看出;人心的大小,胸懷的寬窄,撥一撥秤砣全然知曉。人與人之間的距離,不可太近。與人太近了,常?？慈瞬磺?。一個人既有優(yōu)點,也有缺點,所謂人無完人,金無赤足是也。初識時,走得太近就會模糊了不足,寵之;時間久了,原本的美麗之處也成了瑕疵,嫌之。與人太近了,便隨手可得,有時得物,據(jù)為己有,太過貪財;有時得人,為己所用,可能貪色。貪財也好,貪色亦罷,都是一種貪心。與人太近了,最可悲的就是會把自己丟在別人身上,找不到自己的影子,忘了回家的路。這世上,根本沒有零距離的人際關(guān)系,因為人總是有一份自私的,人與人之間太近的距離,易滋生事端,恩怨相隨。因此,人與人相處的太近了,便漸漸相遠(yuǎn)。人與人之間的距離也不可太遠(yuǎn)。太遠(yuǎn)了,就像放飛的風(fēng)箏,過高斷線。太遠(yuǎn)了,就像南徙的大雁,失群哀鳴。太遠(yuǎn)了,就像失聯(lián)的旅人,形單影只。人與人之間的距離,有時,先遠(yuǎn)后近;有時,先近后遠(yuǎn)。這每次的變化之中,總是有一個難以忘記的故事或者一段難以割舍的情。有時候,人與人之間的距離,忽然間近了,其實還是遠(yuǎn);忽然間遠(yuǎn)了,肯定是傷了誰。人與人之間的距離,如果是一份信箋,那是思念;如果是一個微笑,那是寬容;如果是一句問候,那是友誼;如果是一次付出,那是責(zé)任。這樣的距離,即便是遠(yuǎn),但也很近。最怕的,人與人之間的距離就是一句失真的讒言,一個不屑的眼神,一疊誘人的紙幣,或者是一條無法逾越的深谷。這樣的距離,即便是近,但也很遠(yuǎn)。人與人之間最美的距離,就是不遠(yuǎn)不近,遠(yuǎn)中有近,近中有遠(yuǎn),遠(yuǎn)而不離開,近而不相丟。太遠(yuǎn)的距離,只需要一份寬容,就不會走得太遠(yuǎn)而行同陌人;太近的距離,只需要一份自尊,就不會走得太近而丟了自己。不遠(yuǎn)不近的距離,多像一朵艷麗的花,一首悅耳的歌,一首優(yōu)美的詩。人生路上,每個人的相遇、相識,都是一份緣,我們都是相互之間不可或缺的伴。人與人之間的距離雖然摸不著,看不見,但的的確確是一桿實實在在的秤。真與假,善與惡,美與丑,盡在秤桿上能夠看出;人心的大小,胸懷的寬窄,撥一撥秤砣全然知曉。人與人之間的距離,不可太近。與人太近了,常?？慈瞬磺?。一個人既有優(yōu)點,也有缺點,所謂人無完人,金無赤足是也。初識時,走得太近就會模糊了不足,寵之;時間久了,原本的美麗之處也成了瑕疵,嫌之。與人太近了,便隨手可得,有時得物,據(jù)為己有,太過貪財;有時得人,為己所用,可能貪色。貪財也好,貪色亦罷,都是一種貪心。與人太近了,最可悲的就是會把自己丟在別人身上,找不到自己的影子,忘了回家的路。這世上,根本沒有零距離的人際關(guān)系,因為人總是有一份自私的,人與人之間太近的距離,易滋生事端,恩怨相隨。因此,人與人相處的太近了,便漸漸相遠(yuǎn)。人與人之間的距離也不可太遠(yuǎn)。太遠(yuǎn)了,就像放飛的風(fēng)箏,過高斷線。太遠(yuǎn)了,就像南徙的大雁,失群哀鳴。太遠(yuǎn)了,就像失聯(lián)的旅人,形單影只。人與人之間的距離,有時,先遠(yuǎn)后近;有時,先近后遠(yuǎn)。這每次的變化之中,總是有一個難以忘記的故事或者一段難以割舍的情。有時候,人與人之間的距離,忽然間近了,其實還是遠(yuǎn);忽然間遠(yuǎn)了,肯定是傷了誰。人與人之間的距離,如果是一份信箋,那是思念;如果是一個微笑,那是寬容;如果是一句問候,那是友誼;如果是一次付出,那是責(zé)任。這樣的距離,即便是遠(yuǎn),但也很近。最怕的,人與人之間的距離就是一句失真的讒言,一個不屑的眼神,一疊誘人的紙