互聯(lián)網(wǎng)系統(tǒng)安全開發(fā)指南

10互聯(lián)網(wǎng)系統(tǒng)安全開發(fā)指南20233名目TOC\o“1-1“\h\z\u\l“_TOC_250002“1. 跨站腳本防護.................................................... 3\l“_TOC_250001“2. 防止內(nèi)部IP地址泄露............................................. 3\l“_TOC_250000“3. 防止個人身份信息篡改............................................ 44. 防止SQL注入漏洞................................................ 45. 防止數(shù)據(jù)庫權(quán)限過高.............................................. 56. 防止CMS版本泄漏................................................ 57. 防止整站代碼泄漏................................................ 58. 防止后臺治理驗證碼失效.......................................... 69. 制止名目掃瞄.................................................... 610. 去除無關網(wǎng)站內(nèi)容.............................................. 811. 框架釣魚防護.................................................. 912. 報頭協(xié)議追蹤.............................................. 913. 避開上傳應用程序測試腳本...................................... 1114. URL重定向防護................................................ 1215. 治理頁面訪問防護............................................. 1216. 嚴格過濾用戶輸入............................................. 1317. 敏感信息處理防護............................................. 1418. 錯誤信息處理................................................. 1419. 名目權(quán)限治理................................................. 14保滿足以下要求?？缯灸_本防護CrossSiteScriptExecutionXSS)是指攻擊者HTML病毒侵害的一種攻擊方式。防護指南：input，output嚴格的過濾并進展并使用正確的編碼，而不是簡潔的過濾一些常見的CSS攻擊是相當敏捷的；用黑名單。過濾內(nèi)容：過濾”<”、”>”將用戶輸入放入引號間，根本實現(xiàn)數(shù)據(jù)與代碼隔離；過濾雙引號，防止用戶跨越許可的標記，添加自定義標記；過濾TAB和空格，防止關鍵字被拆分；script過濾&#防止HTML屬性繞過檢查。IP地址泄露Web成安全隱患。防護指南：份文件等；開發(fā)人員在開發(fā)時，使用注釋泄露了內(nèi)部信息，刪除即可。開發(fā)人員在以后的開發(fā)過程當中，肯定要留意在公布頁面時，檢查件，開發(fā)測試時候的備份文件等。防止個人身份信息篡改POSTIDPOST防護指南：對用戶提交的字段加上權(quán)限限制，防止攻擊者修改數(shù)據(jù)后提交。SQLSQLSQL防護指南：最小權(quán)限原則。特別是不要用dbosa作或者組建使用不同的賬戶，最小權(quán)限原則適用于全部與安全有關的場合；對用戶輸入進展檢查。對一些特別字符，比方單引號，雙引號，分serverclientsqsql語句，比方可以利用parameters對象，避開用字符串直接拼sq命令；錯誤信息常常會透露一些數(shù)據(jù)庫設計的細節(jié)。防止數(shù)據(jù)庫權(quán)限過高一旦腳本代碼存在風險，即可通過執(zhí)行SQL語句讀取效勞器硬盤全部內(nèi)容、進展寫操作、提升為系統(tǒng)權(quán)限進展進一步滲透等風險。防護指南：最小權(quán)限原則。特別是不要用dbosa作或者組建使用不同的賬戶，最小權(quán)限原則適用于全部與安全有關的場合；SA1MsSQLPublicSACMS由于未對原始CMS版本進展有效屏蔽，導致懇求某些模塊時可返回真實CMSCMSCMS次漏洞被開掘后可進展針對性的利用。防護指南：站點在公布時可以對代碼進展修改或者刪除原版本信息。防止整站代碼泄漏造成的安全隱患。防護指南:開發(fā)人員在開發(fā)時，使用注釋泄露了內(nèi)部信息，刪除即可；開發(fā)人員在以后的開發(fā)過程當中，肯定要留意在公布頁面時，檢查件，開發(fā)測試時候的備份文件等。防止后臺治理驗證碼失效后臺登陸頁面可以讓一般用戶訪問，并且驗證碼未生效，始終顯示“1234”可導致攻擊者使用密碼破解工具進展嘗試。防護指南：證碼相關程序，使其生效。制止名目掃瞄會給惡意入侵者收集效勞器信息，進一步入侵效勞器帶來時機。防護指南：IIS翻開IIS治理器，網(wǎng)站屬性，選主名目，把其中的名目掃瞄前面的勾去掉；SunOne/iPlanetWebServer配臵：翻開治理掌握臺，選上面的標簽：VirtualServerClass。Classdefaultclass。然Preferences。在配臵界面的DirectoryIndexingnone。Filetouseforerrorresponsewhenindexingisnone后面可以填默認頁面名稱。假設訪問403WebLogicWebLogicMyDomain-->Deployments-->Web Applications-->DefaultWebApp，在右邊的工作區(qū)選擇Configuration-->Files，將Index Directories勾去掉就是制止webappWebLogic去除無關網(wǎng)站內(nèi)容這里指的是實際WEB應用中全部不需要的內(nèi)容。包括WEB效勞器安裝文件，安裝說明文件，開發(fā)測試時候的備份文件等。本次滲透測試就覺察手機銀行的SunOne/iPlanetWebServermanual供給了效勞器的相關信息。有的編輯器如Ultraedit.bakWebWeb防護指南：更，都需檢測是否有備份文件，與注釋文件，以免信息泄露?？蚣茚烎~防護frameiframe下植入假冒登錄框來騙取用戶的登錄憑證。防護指南：雙引號，分號，逗號，冒號，連接號等進展轉(zhuǎn)換或者過濾；TRACE是用來調(diào)試Web效勞器連接的方式。支持該方式的效勞器存在跨站腳本漏洞，攻擊者可以利用此漏洞哄騙合法用戶并得到他們的私人信息〔Cookie〕。防護指南：SunOne/iPlanetWebServer配臵：obj.conf在<Objectname=“default“>的后面添加如下內(nèi)容：<Clientmethod=“TRACE“><Clientmethod=“TRACE“>AuthTransfn=“set-variable“remove-headers=“transfer-encoding“set-headers=“content-length:-1“error=“501“</Client>AuthTransfn=“set-variable“remove-headers=“transfer-encoding“set-headers=“content-length:-1“error=“501“</Client>WebServicePack2#include“nsapi.h“NSAPI_PUBLICintreject_trace(pblock*pb,Session*sn,Request*rq)#include“nsapi.h“NSAPI_PUBLICintreject_trace(pblock*pb,Session*sn,Request*rq){{constchar*method;method=pblock_findval(“method“,rq->reqpb);if(method&&!strcmp(method,“TRACE“)){/**SetaboguscontentlengthsotheTRACEconstchar*method;method=pblock_findval(“method“,rq->reqpb);if(method&&!strcmp(method,“TRACE“)){/**SetaboguscontentlengthsotheTRACEhandlerwillrefuseto*handletherequest*/param_free(pblock_remove(“transfer-encoding“,rq->headers));param_free(pblock_remove(“content-length“,rq->headers));pblock_nvinsert(“content-length“,“-1“,rq->headers);log_error(LOG_WARN,“reject-trace“,sn,rq,“rejectingTRACErequest“);protocol_status(sn,rq,PROTOCOL_NOT_IMPLEMENTED,NULL);returnREQ_ABORTED;}returnREQ_NOACTION;}reject_trace.c。然后依據(jù)版本參照：“://docs.sun/source/816-5686-10/04_mysaf.htm#15053(6.x)“://docs.sun/source/816-5686-10/04_mysaf.htm#15053(6.x)“://docs.sun/source/816-5673-10/04_mysaf.htm#15053(4.x)“://docs.sun/source/816-5673-10/04_mysaf.htm#15053(4.x)reject_trace.so6.0RTM6.0SP1magnus.confInitfn=“l(fā)oad-modules“shlib=“<pathtolibrary>/reject_trace.so“funcs=“reject_trace“Initfn=“l(fā)oad-modules“shlib=“<pathtolibrary>/reject_trace.so“funcs=“reject_trace“AuthTransfn=“reject_trace“AuthTransfn=“reject_trace“Initfn=“l(fā)oad-modules“shlib=“<pathtoPack1ServicePack12obj.confInitInitfn=“l(fā)oad-modules“shlib=“<pathtolibrary>/reject_trace.so“funcs=“reject_trace“l(fā)ibrary>/reject_trace.so“funcs=“reject_trace“在<Objectname=“default“>的后面添加如下內(nèi)容AuthTransfn=“reject_trace“AuthTransfn=“reject_trace“Sun“://sunsolve.sun/search/document.do?assetkey=1-66-202371-1“://sunsolve.sun/search/document.do?assetkey=1-66-202371-1IISUrlscanUrlscan.ini[Option]節(jié)段中TRACE[AllowVerbs]或[DenyVerbs]節(jié)段中。具體安裝和使用參照Mircosoft官方文檔：“://support.microsoft/kb/326444/“://support.microsoft/kb/326444/Apached.confinclude使用虛擬主機，則需要在每個虛擬主機段添加如下內(nèi)容：RewriteEngineonRewriteEngineonRewriteCond%{REQUEST_METHOD}^(TRACE|TRACK)RewriteRule.*-[F]RewriteCond%{REQUEST_METHOD}^(TRACE|TRACK)RewriteRule.*-[F]避開上傳應用程序測試腳本這里指的是實際WEB應用中全部不需要的內(nèi)容。包括WEB效勞器安裝文件，易泄露應用程序規(guī)律及其它諸如用戶名和密碼之類的敏感信息。防護指南：更，都需檢測是否有備份文件，與注釋文件，以免信息泄露；頁面或腳本上傳。URLWeb應用程序接收到用戶提交的URL參數(shù)后，沒有對參數(shù)做“可信任URL”URL地址中，哄騙用戶進入惡意網(wǎng)站，到達攻擊者不法目的。防護指南：轉(zhuǎn)向到釣魚網(wǎng)站。System.Uriu=newSystem.Uri(strReturnUrl);if(u.Host.IndexOf(“.163“)==-1){strReturnUrl=“