SDL安全設(shè)計檢查項（金融類軟件）

SDL安全設(shè)計檢查項（金融類軟件）SDL是由微軟公司首先提出并實踐應(yīng)用的幫助開發(fā)人員構(gòu)建更安全的軟件和解決安全合規(guī)要求的同時降低開發(fā)成本的軟件開發(fā)過程，旨在開發(fā)出安全的軟件應(yīng)用。今天我們要講的是軟件開發(fā)過程中針對【密碼管理】、【會話安全】、【訪問控制】、【日志規(guī)范】、【敏感信息】的安全規(guī)范處理方式。密碼管理：禁止使用私有或者弱加密算法（比如禁止使用DES，SHA1等，推薦使用AES:128位，RSA:2048位，DSA:2048位）。采用基于哈希算法和加入鹽值（salt）方式安全存儲口令信息。密碼輸入框，可設(shè)計為顯示密碼和隱藏密碼切換功能。密碼重設(shè)和更改操作，需要進(jìn)行二次合法身份驗證。密碼重設(shè)時，應(yīng)對注冊手機(jī)號和郵箱進(jìn)行有效驗證，鏈接只能發(fā)送到預(yù)先注冊的郵件地址或預(yù)先綁定的手機(jī)號。臨時密碼和鏈接應(yīng)設(shè)計一個短暫的有效期（比如5分鐘），防止暴力破解。當(dāng)密碼重新設(shè)置時，應(yīng)短信通知用戶是否是本人在操作，告知安全風(fēng)險。密碼復(fù)雜度設(shè)置：建議8個字符以上，包含字母、數(shù)字及特殊字符等。密碼設(shè)置場景中應(yīng)具有密碼復(fù)雜度檢查功能。密碼不能輸出到日志和控制臺。數(shù)據(jù)庫連接配置中的用戶密碼要以加密的形式存儲。建議設(shè)計密碼定期修改提醒機(jī)制。會話安全：用戶登出后應(yīng)立即清理會話及其相關(guān)登錄信息。注銷功能應(yīng)當(dāng)完全終止相關(guān)的會話或連接。增加Cookie安全性，添加“HttpOnly”和“secure”屬性（當(dāng)“secure”屬性設(shè)置為true時表示創(chuàng)建的Cookie會被以安全的形式向服務(wù)器傳輸，也就是只能在HTTPS連接中被瀏覽器傳遞到服務(wù)器端進(jìn)行會話驗證，在HTTP連接中不會傳遞該信息，也就不會存在Cookie被竊取的問題；設(shè)置了"HttpOnly"屬性，通過程序(JS腳本、Applet等)將無法讀取到Cookie信息，這樣也能減少XSS跨站腳本攻擊風(fēng)險）。會話cookie應(yīng)設(shè)計有效期，超時后立即失效。當(dāng)設(shè)計允許用戶在多渠道終端同時登錄時，建議應(yīng)進(jìn)行常用設(shè)備登錄限制為包含已驗證的會話標(biāo)識符的cookie設(shè)置域和路徑，為站點設(shè)置一個恰當(dāng)?shù)南拗浦?。默認(rèn)cookie的域是當(dāng)前域名，默認(rèn)cookie的路徑是當(dāng)前頁面的目錄路徑。如果想要跨域或者在其他的路徑下訪問cookie就必須要重新設(shè)置這兩個屬性，domain和path。注銷功能應(yīng)當(dāng)可用于所有受身份驗證保護(hù)的網(wǎng)頁。在平衡風(fēng)險和業(yè)務(wù)功能需求的基礎(chǔ)上，設(shè)置一個盡量短的會話超時時間。通常情況下，應(yīng)當(dāng)不超過幾個小時。不要在URL、錯誤信息或日志中暴露會話標(biāo)識符，會話標(biāo)識符應(yīng)當(dāng)只出現(xiàn)在http頭信息中，不要將會話標(biāo)識符以GET參數(shù)進(jìn)行傳遞。定期生成一個新的會話標(biāo)識符并周期性地使上一個會話標(biāo)識符失效（這可以緩解那些原標(biāo)識符被獲得的特定會話劫持情況）。在身份驗證的時候，如果連接從HTTP變?yōu)镠TTPS，則會生成一個新的會話標(biāo)識符。在應(yīng)用程序中，推薦持續(xù)使用HTTPS，不應(yīng)在HTTP和HTTPS之間來回轉(zhuǎn)換，有效避免切換過程會話被劫持篡改。為服務(wù)器端的操作執(zhí)行標(biāo)準(zhǔn)的安全會話管理，為每個會話執(zhí)行合法的身份驗證和權(quán)限控制，防止存在CSRF跨站點請求偽造漏洞。訪問控制：將具有特權(quán)的邏輯從其他應(yīng)用程序代碼中隔離開。限制只有授權(quán)的用戶才能訪問文件資源。限制只有授權(quán)的用戶才能訪問受保護(hù)的URL。限制只有授權(quán)的用戶才能訪問受保護(hù)的功能或服務(wù)。建議只有授權(quán)的用戶才能訪問直接對象引用。限制只有授權(quán)的用戶才能訪問受保護(hù)的應(yīng)用程序數(shù)據(jù)。限制只有授權(quán)的用戶才能訪問與安全相關(guān)的配置信息。限制只有授權(quán)的外部應(yīng)用程序或接口才能訪問受保護(hù)的本地程序或資源。服務(wù)器端執(zhí)行的訪問控制規(guī)則和前端實施的訪問控制規(guī)則必須匹配。服務(wù)器中創(chuàng)建文件時需指定合理的訪問權(quán)限（讀/寫/可執(zhí)行）。當(dāng)權(quán)限重新設(shè)置發(fā)生變更時，應(yīng)記錄好日志，并短信通知用戶是否是本人在操作，告知可能存在的安全風(fēng)險。日志規(guī)范：不要在日志中保存敏感信息，包括系統(tǒng)指紋信息、會話標(biāo)識符、賬號密碼、證件、ID等。確保日志記錄包含了重要的日志事件數(shù)據(jù)。記錄所有失敗和成功的輸入驗證。記錄所有失敗和成功的身份驗證記錄。記錄所有失敗和成功的訪問和操作記錄。記錄明顯的修改事件，包括對于狀態(tài)數(shù)據(jù)的修改。記錄連接無效或者已過期的會話令牌嘗試。記錄所有的管理功能操作行為，包含但不限于安全配置設(shè)置的變更。記錄所有失敗和成功的后端連接。記錄加密模塊的錯誤信息。敏感信息：臨時產(chǎn)生的敏感數(shù)據(jù)（寫入內(nèi)存或文件），應(yīng)具有及時清除和釋放機(jī)制。不要在HTTPGET請求參數(shù)中包含敏感信息，如用戶名、密碼、卡號、ID等。禁止表單中的自動填充功能，因為表單中可能包含敏感信息，包括身份驗證信息。不要在客戶端上以明文形式保存密碼或其他敏感信息。為所有敏感信息采用SSL加密傳輸。禁止將敏感信息（包含加密秘鑰等）硬編碼在程序中。禁止明文存儲用戶的密碼、身份證號、銀行卡號、持卡人姓名等敏感信息。不要在日志中保存敏感信息，包含但不限于系統(tǒng)詳細(xì)信息、會話標(biāo)識符、密碼等。禁止在異常中泄露應(yīng)用服務(wù)器的指紋信息，如版本，路徑，組件版本等。禁止將源碼或sql上傳到開源平臺或社區(qū)，如github、開