WEB應(yīng)用系統(tǒng)安全規(guī)范文檔樣本

WEB應(yīng)用系統(tǒng)安全規(guī)范目錄WEB應(yīng)用系統(tǒng)安全規(guī)范 11 概述 41.1 目 41.2 合用范疇 42 范疇 43 名詞解釋 44 Web開發(fā)安全規(guī)范 54.1 Web應(yīng)用程序體系構(gòu)造和安全 54.2 Web安全編碼規(guī)范 74.2.1 區(qū)別公共區(qū)域和受限區(qū)域 74.2.2 對身份驗證cookie內(nèi)容進行加密 74.2.3 限制會話壽命 74.2.4 使用SSL保護會話身份驗證Cookie 74.2.5 保證顧客沒有繞過檢查 74.2.6 驗證從客戶端發(fā)送所有數(shù)據(jù) 84.2.7 不要向客戶端泄漏信息 84.2.8 記錄詳細錯誤信息 84.2.9 捕獲異常 84.2.10 不要信任HTTP頭信息 84.2.11 不要使用HTTP-GET合同傳遞敏感數(shù)據(jù) 84.2.12 不要在永久性cookie中存儲敏感數(shù)據(jù) 84.2.13 對數(shù)據(jù)進行加密或保證通信通道安全 94.2.14 SQL語句參數(shù)應(yīng)以變量形式傳入 94.2.15 頁面中非源代碼內(nèi)容應(yīng)通過URI編碼 94.2.16 頁面中拼裝腳本應(yīng)校驗元素來源合法性 94.2.17 頁面祈求解決應(yīng)校驗參數(shù)最大長度 94.2.18 登錄失敗信息錯誤提示應(yīng)一致 104.2.19 避免頁面上傳任意擴展名文獻 104.2.20 避免接受頁面中主機磁盤途徑信息 104.2.21 第三方產(chǎn)品合法性 105 系統(tǒng)布置安全規(guī)范 105.1 布置架構(gòu)和安全 105.1.1 網(wǎng)絡(luò)基本構(gòu)造組件 115.1.2 布置拓撲構(gòu)造 125.2 布置操作安全規(guī)范 125.2.1 保證管理界面安全 125.2.2 保證配備存儲安全 125.2.3 單獨分派管理特權(quán) 125.2.4 使用至少特權(quán)進程和服務(wù)帳戶 125.2.5 盡量避免存儲機密 135.2.6 不要在代碼中存儲機密 135.2.7 不要以純文本形式存儲數(shù)據(jù)庫連接、密碼或密鑰 135.2.8 限制主機上WEB系統(tǒng)啟動顧客權(quán)限 135.2.9 隱藏后臺調(diào)試信息 135.2.10 密碼加密存儲 135.2.11 隱藏重要配備參數(shù)信息 145.2.12 隱藏日記文獻 145.2.13 禁用WebDAV，或者禁止不需要HTTP辦法 145.2.14 保證管理平臺、測試賬號口令強度 145.2.15 定期核查文獻上傳途徑、日記途徑中與否存在木馬 145.2.16 及時刪除應(yīng)用系統(tǒng)暫時文獻 145.2.17 重要系統(tǒng)隔離 146 安全審計 156.1 審核并記錄跨應(yīng)用層訪問 156.2 考慮標記流 156.3 記錄核心事件 156.4 保證日記文獻安全 156.5 定期備份和分析日記文獻 167 規(guī)范更新機制 168 規(guī)范執(zhí)行 169 參照資料 17概述目為規(guī)范我司JavaWeb應(yīng)用編碼和布置安全控制和管理，特制定本規(guī)范，并作為安全檢查及考核參照根據(jù)。合用范疇本規(guī)范合用于我司所有在線Java業(yè)務(wù)系統(tǒng)、測試系統(tǒng)WEB應(yīng)用。本規(guī)范可作為其她非WEB應(yīng)用編碼和布置安全辦法參照。范疇本規(guī)范中列出是常用安全辦法和高風險漏洞，在系統(tǒng)開發(fā)與系統(tǒng)布置過程中，對本規(guī)范未能盡述必要安全辦法，仍應(yīng)予以采用。本規(guī)范每年復審一次，其他時候也可以依照需要進行修訂并發(fā)布。本規(guī)范解釋權(quán)和修改權(quán)歸屬信息技術(shù)部。名詞解釋驗證：通訊實體(例如，客戶端和服務(wù)器)彼此驗證，以通過訪問授權(quán)特定標記為根據(jù)。資源訪問控制：資源交互僅限于某些顧客或程序集合，其目是對完整性，保密性或可用性實行強制約束。數(shù)據(jù)完整性：檢查信息與否被第三方(非信息源其他實體)修改。例如，處在開放網(wǎng)絡(luò)環(huán)境中數(shù)據(jù)接受方必要可以檢測并丟棄那些在傳遞過程中被修改過消息。機密性或數(shù)據(jù)隱私：保證信息僅對通過訪問授權(quán)顧客可用。不可否認：對顧客進行檢查，讓她無法否認自己進行過活動。審核：捕獲一種安全有關(guān)事件防篡改記錄，目是評估安全方略和機制有效性。Web開發(fā)安全規(guī)范Web應(yīng)用程序體系構(gòu)造和安全HTTP是無國界，這意味著跟蹤每位顧客會話狀態(tài)將成為應(yīng)用程序責任。應(yīng)用程序必要可以通過某種形式身份驗證來辨認顧客。由于所有后續(xù)授權(quán)決策都要基于顧客標記，因而，身份驗證過程必要是安全，同樣必要較好地保護用于跟蹤已驗證顧客會話解決機制。設(shè)計安全身份驗證和會話管理機制僅僅是Web應(yīng)用程序設(shè)計人員和開發(fā)人員所面臨眾多問題中兩個方面。由于輸入和輸出數(shù)據(jù)要在公共網(wǎng)絡(luò)上進行傳播，因而還會存在其她挑戰(zhàn)。防止參數(shù)操作和敏感數(shù)據(jù)泄漏也是此外某些重要問題。Web應(yīng)用程序安全設(shè)計是依照應(yīng)用程序漏洞類別進行組織。實際經(jīng)驗表白，如果這些領(lǐng)域設(shè)計存在薄弱環(huán)節(jié)，將會導致安全漏洞。下表列出了漏洞類別，每個類別都突出顯示了由于設(shè)計不當也許會導致潛在問題。漏洞類別由于設(shè)計不當而引起潛在問題輸入驗證嵌入到查詢字符串、表單字段、cookie和HTTP頭中惡意字符串襲擊。這些襲擊涉及命令執(zhí)行、跨站點腳本(XSS)、SQL注入和緩沖區(qū)溢出襲擊。身份驗證標記欺騙、密碼破解、特權(quán)提高和未經(jīng)授權(quán)訪問。授權(quán)訪問保密數(shù)據(jù)或受限數(shù)據(jù)、篡改數(shù)據(jù)以及執(zhí)行未經(jīng)授權(quán)操作。配備管理對管理界面進行未經(jīng)授權(quán)訪問、具備更新配備數(shù)據(jù)能力以及對顧客帳戶和帳戶配備文獻進行未經(jīng)授權(quán)訪問。敏感數(shù)據(jù)泄露保密信息以及篡改數(shù)據(jù)。會話管理捕獲會話標記符，從而導致會話劫持及標記欺騙。加密訪問保密數(shù)據(jù)或帳戶憑據(jù)，或兩者均能訪問。參數(shù)操作途徑遍歷襲擊、命令執(zhí)行以及繞過訪問控制機制，從而導致信息泄漏、特權(quán)提高和回絕服務(wù)。異常管理回絕服務(wù)和敏感系統(tǒng)級詳細信息泄漏。審核和記錄不能發(fā)現(xiàn)入侵跡象、不能驗證顧客操作，以及在診斷問題時浮現(xiàn)困難。針對上述漏洞應(yīng)用程序設(shè)計指南如下表：類別規(guī)范指南輸入驗證不要信任輸入；應(yīng)考慮集中式輸入驗證。

不要依賴于客戶端驗證。注意原則化問題。限制、回絕和凈化輸入。驗證類型、長度、格式和范疇。身份驗證將站點分割為匿名區(qū)域、標記區(qū)域和通過身份驗證區(qū)域。使用強密碼。支持密碼有效期和帳戶禁用。不要存儲憑據(jù)（應(yīng)使用帶有salt單向哈希）。加密通信通道，以保護身份驗證令牌。僅通過HTTPS連接傳遞表單身份驗證cookie。授權(quán)使用至少特權(quán)帳戶?？紤]授權(quán)粒度。實行分別授權(quán)。限制顧客訪問系統(tǒng)級資源。配備管理使用至少特權(quán)進程和服務(wù)帳戶。不要以純文本形式存儲憑據(jù)。在管理界面上使用強身份驗證和授權(quán)。不要使用LSA。遠程管理時要保證通信通道安全。避免在Web空間中存儲敏感數(shù)據(jù)。敏感數(shù)據(jù)避免存儲機密。對網(wǎng)絡(luò)上傳播敏感數(shù)據(jù)進行加密。保證通信通道安全。對敏感數(shù)據(jù)存儲提供強訪問控制。不要在永久性cookie中存儲敏感數(shù)據(jù)。不要使用HTTP-GET合同傳遞敏感數(shù)據(jù)。會話管理限制會話壽命。保證通道安全。對身份驗證cookie內(nèi)容進行加密。保護會話狀態(tài)，以防止未經(jīng)授權(quán)訪問。加密不要自創(chuàng)加密算法。使用可靠并通過測試平臺功能。將未加密數(shù)據(jù)存儲在算法附近。使用對的算法和密鑰大小。避免密鑰管理（使用DPAPI）。定期回收密鑰。在受限區(qū)域存儲密鑰。參數(shù)操作對敏感cookie狀態(tài)加密。不要信任客戶端可以操作字段（如查詢字符串、表單字段、cookie或HTTP頭）。驗證從客戶端發(fā)送所有數(shù)據(jù)。異常管理使用構(gòu)造化異常解決機制。不要泄漏敏感應(yīng)用程序?qū)嵭屑毠?jié)。不要記錄保密數(shù)據(jù)，如密碼?？紤]使用集中式異常管理框架。審核和記錄辨認懷有惡意行為。理解好數(shù)據(jù)流應(yīng)當是什么樣子。在所有應(yīng)用層中審核和記錄活動。保證日記文獻訪問安全。定期備份和分析日記文獻。Web安全編碼規(guī)范區(qū)別公共區(qū)域和受限區(qū)域站點公共區(qū)域容許任何顧客進行匿名訪問。受限區(qū)域只能接受特定顧客訪問，并且顧客必要通過站點身份驗證?？紤]一種典型零售網(wǎng)站。您可以匿名瀏覽產(chǎn)品分類。當您向購物車中添加物品時，應(yīng)用程序?qū)⑹褂脮挊擞浄炞C您身份。最后，當您下訂單時，即可執(zhí)行安全交易。這需要您進行登錄，以便通過SSL驗證交易。將站點分割為公共訪問區(qū)域和受限訪問區(qū)域，可以在該站點不同區(qū)域使用不同身份驗證和授權(quán)規(guī)則，從而限制對SSL使用。使用SSL會導致性能下降，為了避免不必要系統(tǒng)開銷，在設(shè)計站點時，應(yīng)當在規(guī)定驗證訪問區(qū)域限制使用SSL。對身份驗證cookie內(nèi)容進行加密雖然使用SSL，也要對cookie內(nèi)容進行加密。如果襲擊者試圖運用XSS襲擊竊取cookie，這種辦法可以防止襲擊者查看和修改該cookie。在這種狀況下，襲擊者依然可以使用cookie訪問應(yīng)用程序，但只有當cookie有效時，才干訪問成功。限制會話壽命縮短會話壽命可以減少會話劫持和重復襲擊風險。會話壽命越短，襲擊者捕獲會話cookie并運用它訪問應(yīng)用程序時間越有限。使用SSL保護會話身份驗證Cookie不要通過HTTP連接傳遞身份驗證cookie。在授權(quán)cookie內(nèi)設(shè)立安全cookie屬性，以便批示瀏覽器只通過HTTPS連接向服務(wù)器傳回cookie。保證顧客沒有繞過檢查保證顧客沒有通過操作參數(shù)而繞過檢查。最后顧客可以通過瀏覽器地址文本框操作URL參數(shù)。例如，URL地址http://www.<YourSite>/<YourApp>/sessionId=10包括一種值10，通過將該值更改為其她隨機數(shù)字，可以得到不同輸出。應(yīng)保證在服務(wù)器端代碼中執(zhí)行上述檢查，而不是在客戶端JavaScript中檢查，由于可以在瀏覽器中禁用JavaScript。驗證從客戶端發(fā)送所有數(shù)據(jù)限制可接受顧客輸入字段，并對來自客戶端所有值進行修改和驗證。如果表單字段中包括預(yù)定義值，顧客可以更改這些值，并將其傳回服務(wù)器，以得到不同成果。只接受已知有益數(shù)據(jù)。例如，如果輸入字段面向一種州，那么只有與該州郵政編碼匹配輸入才干被接受。不要向客戶端泄漏信息發(fā)生故障時，不要暴露將會導致信息泄漏消息。例如，不要暴露涉及函數(shù)名以及調(diào)試內(nèi)部版本時出問題行數(shù)（該操作不應(yīng)在生產(chǎn)服務(wù)器上進行）堆棧跟蹤詳細信息。應(yīng)向客戶端返回普通性錯誤消息。記錄詳細錯誤信息向錯誤日記發(fā)送詳細錯誤消息。應(yīng)當向服務(wù)或應(yīng)用程序客戶發(fā)送至少量信息，如普通性錯誤消息和自定義錯誤日記ID，隨后可以將這些信息映射到事件日記中詳細消息。保證沒有記錄密碼或其她敏感數(shù)據(jù)。捕獲異常使用構(gòu)造化異常解決機制，并捕獲異?，F(xiàn)象。這樣做可以避免將應(yīng)用程序置于不協(xié)調(diào)狀態(tài)，這種狀態(tài)也許會導致信息泄漏。它尚有助于保護應(yīng)用程序免受回絕服務(wù)襲擊。擬定如何在應(yīng)用程序內(nèi)部廣播異?，F(xiàn)象，并著重考慮在應(yīng)用程序邊界會發(fā)生什么事情。不要信任HTTP頭信息HTTP頭在HTTP祈求和響應(yīng)開始時發(fā)送。應(yīng)保證Web應(yīng)用程序任何安全決策都不是基于HTTP頭中包括信息，由于襲擊者很容易操作HTTP頭。例如，HTTP頭中“referer”字段包括發(fā)出祈求網(wǎng)頁URL。不要基于“referer”字段值作出任何安全決策，以檢查發(fā)出祈求頁面與否由該Web應(yīng)用程序生成，由于該字段很容易偽造。不要使用HTTP-GET合同傳遞敏感數(shù)據(jù)應(yīng)避免使用HTTP-GET合同存儲敏感數(shù)據(jù)，由于該合同使用查詢字符串傳遞數(shù)據(jù)。使用查詢字符串不能保證敏感數(shù)據(jù)安全性，由于查詢字符串經(jīng)常被服務(wù)器記錄下來。不要在永久性cookie中存儲敏感數(shù)據(jù)避免在永久性cookie中存儲敏感數(shù)據(jù)。如果存儲是純文本數(shù)據(jù)，最后顧客可以看到并修改該數(shù)據(jù)。如果對其加密，必要考慮密鑰管理。例如，如果用于加密cookie中數(shù)據(jù)密鑰已過期且已被回收，則新密鑰不能對客戶端通過瀏覽器傳遞永久性cookie進行解密。對數(shù)據(jù)進行加密或保證通信通道安全如果在網(wǎng)絡(luò)上向客戶端發(fā)送敏感數(shù)據(jù)，應(yīng)對數(shù)據(jù)進行加密或保證通信通道安全。普通做法是在客戶端與Web服務(wù)器之間使用SSL。服務(wù)器間通信普通使用IPSec。要保證通過多重中間件傳播敏感數(shù)據(jù)安全性，如Web服務(wù)簡樸對象訪問合同(SOAP)消息，應(yīng)使用消息級加密。SQL語句參數(shù)應(yīng)以變量形式傳入（一）在對數(shù)據(jù)庫進行查詢與各類操作時，SQL語句中參數(shù)應(yīng)以變量形式傳播給服務(wù)器，不應(yīng)直接將參數(shù)值拼接到SQL語句文本中。（二）參數(shù)類型涉及所有數(shù)據(jù)類型，而不但是字符串類型。（三）參數(shù)值來源涉及但不限于：顧客輸入數(shù)據(jù)、從數(shù)據(jù)庫中讀出數(shù)據(jù)、從配置文獻中讀出數(shù)據(jù)、從外部系統(tǒng)中獲得數(shù)據(jù)、其他程序邏輯計算得出數(shù)據(jù)，等等。（四）SQL語句執(zhí)行位置涉及但不限于：代碼中SQL語句，數(shù)據(jù)庫存儲過程、觸發(fā)器、定期器等。（五）應(yīng)用程序在解決顧客非法URL祈求，觸發(fā)后臺應(yīng)用程序SQL錯誤時，應(yīng)返回解決后錯誤頁面提示，禁止直接拋出數(shù)據(jù)庫SQL錯誤，如浮現(xiàn)ORA-xxx等等。頁面中非源代碼內(nèi)容應(yīng)通過URI編碼（一）頁面中非源代碼內(nèi)容，應(yīng)當以URI編碼后字符浮現(xiàn)，避免特殊字符直接出當前頁面中。（二）內(nèi)容來源涉及但不限于：在服務(wù)器端由程序生成頁面內(nèi)容、在瀏覽器端由腳本生成頁面內(nèi)容（如：javascript中document.write函數(shù)）。（三）頁面中隱藏內(nèi)容、頁面格式控制等，也應(yīng)受本公約束。頁面中拼裝腳本應(yīng)校驗元素來源合法性（一）在瀏覽器端拼裝并運營（如：運用javascripteval函數(shù)執(zhí)行）腳本，應(yīng)校驗拼裝元素來源合法性，擬定其中沒有危害性內(nèi)容。（二）校驗范疇涉及但不限于：變量名元素應(yīng)符合標記符規(guī)則、整型元素只包括數(shù)字、元素中不包括特殊字符。頁面祈求解決應(yīng)校驗參數(shù)最大長度（一）WEB服務(wù)器在接受頁面祈求時，應(yīng)校驗參數(shù)最大長度，截斷超過最大長度范疇。登錄失敗信息錯誤提示應(yīng)一致（一）WEB服務(wù)器在接受顧客登錄祈求時，不應(yīng)區(qū)別登錄失敗提示信息（如：顧客名不存在、密碼錯誤、密碼已過期等），應(yīng)采用統(tǒng)一失敗提示信息（如：錯誤顧客名或密碼）。避免頁面上傳任意擴展名文獻（一）WEB服務(wù)器在接受頁面上傳文獻時，應(yīng)對文獻名進行過濾，僅接受指定范疇文獻（如：圖片，.zip文獻等），同步，要修改上傳后文獻名，不應(yīng)接受也許存在危險文獻（如：.jsp，.sh，.war，.jar文獻等）。（二）如果出于業(yè)務(wù)需要（如：網(wǎng)盤等）必要接受任意擴展名文獻，則應(yīng)自動修改上傳文獻擴展名，并注意采用統(tǒng)一無風險擴展名命名規(guī)則。避免接受頁面中主機磁盤途徑信息（一）WEB服務(wù)器接受頁面祈求中任何內(nèi)容，不得作為主機磁盤途徑（涉及相對途徑）解決，特別不得在程序中提取磁盤上目錄、文獻內(nèi)容傳送到頁面。第三方產(chǎn)品合法性（一）應(yīng)選取合法第三方產(chǎn)品，在使用第三方產(chǎn)品前，需要進行安全評估和版本篩選。

系統(tǒng)布置安全規(guī)范布置架構(gòu)和安全下圖顯示了需在程序設(shè)計階段考慮幾種程序布置問題。在應(yīng)用程序設(shè)計階段，應(yīng)考慮我司安全方略和程序，以及布置應(yīng)用程序基本構(gòu)造。普通，目的環(huán)境是固定不變，應(yīng)用程序設(shè)計必要要反映這些限制條件。有時需要折衷考慮設(shè)計方案，例如，由于存在合同和端口限制，或是特定布置拓撲構(gòu)造規(guī)定。要在設(shè)計初期擬定存在哪些限制條件，以避免日后在開發(fā)過程中浮現(xiàn)意外；此外，應(yīng)邀請網(wǎng)絡(luò)和基本構(gòu)造工作構(gòu)成員參加此過程。網(wǎng)絡(luò)基本構(gòu)造組件保證您理解目的環(huán)境提供網(wǎng)絡(luò)構(gòu)造，并理解網(wǎng)絡(luò)基本安全規(guī)定，如篩選規(guī)則、端口限制、支持合同等等。擬定防火墻和防火墻方略也許會如何影響應(yīng)用程序設(shè)計和布置。在面向Internet應(yīng)用程序和內(nèi)部網(wǎng)絡(luò)之間也許存在防火墻將其隔開。也許還存在用于保護數(shù)據(jù)庫其她防火墻。這些防火墻影響了可用通信端口，因而會影響Web服務(wù)器到遠程應(yīng)用程序和數(shù)據(jù)庫服務(wù)器身份驗證選項。例如，Windows身份驗證需要附加端口。在設(shè)計階段，需要考慮容許哪些合同、端口和服務(wù)從外圍網(wǎng)絡(luò)中Web服務(wù)器訪問內(nèi)部資源。還應(yīng)擬定應(yīng)用程序設(shè)計所需合同和端口，并分析打開新端口或使用新合同會帶來哪些潛在威脅。交流并記錄所有關(guān)于網(wǎng)絡(luò)和應(yīng)用層安全設(shè)想，以及哪些組件將解決哪些問題。這樣，當開發(fā)人員和網(wǎng)絡(luò)管理人員都以為對方會解決安全問題時，可以防止安全控制失敗。注意網(wǎng)絡(luò)為應(yīng)用程序提供安全防范辦法。設(shè)想如果更改網(wǎng)絡(luò)設(shè)立，也許會帶來哪些安全隱患。如果實現(xiàn)特定網(wǎng)絡(luò)構(gòu)造更改，將會浮現(xiàn)多少安全漏洞？布置拓撲構(gòu)造應(yīng)用程序布置拓撲構(gòu)造和與否具備遠程應(yīng)用層是設(shè)計階段必要考慮核心問題。如果具備遠程應(yīng)用層，需要考慮如何保護服務(wù)器之間網(wǎng)絡(luò)以減少網(wǎng)絡(luò)竊聽威脅，以及如何保護敏感數(shù)據(jù)保密性和完整性。此外，還要考慮標記符流，并擬定在應(yīng)用程序連接到遠程服務(wù)器時將用于網(wǎng)絡(luò)身份驗證帳戶。一種常用辦法是使用最小特權(quán)進程帳戶，并在遠程服務(wù)器上創(chuàng)立一種具備相似密碼帳戶副本（鏡像）。另一種辦法是使用域進程帳戶，此類帳戶管理以便，但會帶來更大安全問題，由于很難限制該帳戶在網(wǎng)絡(luò)上使用。未建立信任關(guān)系介入防火墻和單獨域使應(yīng)用本地帳戶成為唯一選取。布置操作安全規(guī)范保證管理界面安全配備管理功能只能由通過授權(quán)操作員和管理員訪問，這一點是非常重要。核心一點是要在管理界面上實行強身份驗證，如使用證書。如果有也許，限制或避免使用遠程管理，并規(guī)定管理員在本地登錄。如果需要支持遠程管理，應(yīng)使用加密通道，如SSL或VPN技術(shù)，由于通過管理界面?zhèn)鬟f數(shù)據(jù)是敏感數(shù)據(jù)。此外，還要考慮使用IPSec方略限制對內(nèi)部網(wǎng)絡(luò)計算機遠程管理，以進一步減少風險。保證配備存儲安全基于文本配備文獻、注冊表和數(shù)據(jù)庫是存儲應(yīng)用程序配備數(shù)據(jù)慣用辦法。如有也許，應(yīng)避免在應(yīng)用程序Web空間使用配備文獻，以防止也許浮現(xiàn)服務(wù)器配備漏洞導致配備文獻被下載。無論使用哪種辦法，都應(yīng)保證配備存儲訪問安全，如使用WindowsACL或數(shù)據(jù)庫權(quán)限。還應(yīng)避免以純文本形式存儲機密，如數(shù)據(jù)庫連接字符串或帳戶憑據(jù)。通過加密保證這些項目安全，然后限制對包括加密數(shù)據(jù)注冊表項、文獻或表訪問權(quán)限。單獨分派管理特權(quán)如果應(yīng)用程序配備管理功能所支持功能性基于管理員角色而變化，則應(yīng)考慮使用基于角色授權(quán)方略分別為每個角色授權(quán)。例如，負責更新站點靜態(tài)內(nèi)容人員不必具備更改客戶信貸限額權(quán)限。使用至少特權(quán)進程和服務(wù)帳戶應(yīng)用程序配備一種重要方面是用于運營Web服務(wù)器進程進程帳戶，以及用于訪問下游資源和系統(tǒng)服務(wù)帳戶。應(yīng)保證為這些帳戶設(shè)立至少特權(quán)。如果襲擊者設(shè)法控制一種進程，則該進程標記對文獻系統(tǒng)和其她系統(tǒng)資源應(yīng)當具備極有限訪問權(quán)限，以減少也許導致危害。盡量避免存儲機密在軟件中以完全安全方式存儲機密是不也許。可以接觸到服務(wù)器系統(tǒng)管理員可以訪問這些數(shù)據(jù)。例如，當您所要做僅僅是驗證顧客與否懂得某個機密時，則沒有必要存儲該機密。在這種狀況下，可以存儲代表機密哈希值，然后使用顧客提供值計算哈希值，以驗證該顧客與否懂得該機密。不要在代碼中存儲機密不要在代碼中對機密進行硬編碼。雖然不將源代碼暴露在Web服務(wù)器上，但從編譯過可執(zhí)行文獻中依然可以提取字符串常量。配備漏洞也許會容許襲擊者檢索可執(zhí)行文獻。不要以純文本形式存儲數(shù)據(jù)庫連接、密碼或密鑰避免以純文本形式存儲諸如數(shù)據(jù)庫連接字符串、密碼和密鑰之類機密。使用加密，并存儲通過加密字符串。限制主機上WEB系統(tǒng)啟動顧客權(quán)限（一）應(yīng)將WEB系統(tǒng)啟動顧客權(quán)限限制在最小范疇內(nèi)，禁止該顧客訪問其他不必要途徑（如：/etc/、/root）。隱藏后臺調(diào)試信息（一）WEB系統(tǒng)、數(shù)據(jù)庫等報告異常信息、調(diào)試信息不應(yīng)當出當前頁面上。密碼加密存儲（一）WEB系統(tǒng)中存儲密碼應(yīng)采用一定加密算法，以密文形式存儲。此處所指密碼涉及但不限于：1．配備文獻中主機、網(wǎng)絡(luò)、數(shù)據(jù)庫、郵箱密碼；2．數(shù)據(jù)庫中顧客資料密碼；（二）加密算法選取應(yīng)依照實際需要，首選不對稱加密算法，次選破解難度高對稱加密算法。隱藏重要配備參數(shù)信息（一）對于重要配備參數(shù)信息，應(yīng)采用必要隱藏辦法，詳細技術(shù)請遵循《我司敏感參數(shù)保護規(guī)范》（二）此處所指配備參數(shù)涉及但不限于：1.重要顧客名、密碼；2.重要設(shè)備內(nèi)網(wǎng)地址（如：數(shù)據(jù)庫、存儲設(shè)備）；隱藏日記文獻（一）不應(yīng)將日記文獻途徑設(shè)立在頁面可達位置，顧客通過頁面應(yīng)當無法訪問到系統(tǒng)產(chǎn)生日記文獻。禁用WebDAV，或者禁止不需要HTTP辦法（一）在無特定需求狀況下，應(yīng)只開放GET，HEAD，POST等安全HTTP辦法，禁用PUT，DELETE，OPTIONS等具備操作性質(zhì)HTTP辦法。保證管理平臺、測試賬號口令強度（一）WEB系統(tǒng)管理平臺、測試賬號口令應(yīng)具備足夠強度。詳細規(guī)定請遵循《我司公司系統(tǒng)帳號口令管理辦法》。

定期核查文獻上傳途徑、日記途徑中與否存在木馬（一）應(yīng)定期對不也許出當代碼途徑進行檢查，及時發(fā)現(xiàn)與排除也許存在木馬。（二）需要檢查途徑涉及但不限于：顧客文獻上傳途徑、日記文獻途徑。及時刪除應(yīng)用系統(tǒng)暫時文獻（一）WEB系統(tǒng)中不應(yīng)當具有不必要文獻。涉及但不限于：.CVS文獻夾、.svn文獻夾、暫時備份文獻等等。（二）對于WEB頁面?zhèn)浞菸墨I，不要以.bak文獻存儲（如index.jsp.bak等）重要系統(tǒng)隔離（一）在布置WEB系統(tǒng)時，應(yīng)依照實際狀況，盡量使重要系統(tǒng)之間互相隔離、重要系統(tǒng)與其他系統(tǒng)之間隔離。（二）隔離辦法涉及但不限于：主機分離、數(shù)據(jù)庫分離、網(wǎng)段隔離。安全審計應(yīng)當審核和記錄跨應(yīng)用層活動。使用日記，可以檢測到蹤跡可疑活動。這普通能較早地發(fā)現(xiàn)成