首页 →文档下载

以下为《通用安全编码规范》的无排版文字预览，完整内容请下载

通用安全编码规范 天翼*** 信息技术部 【】通用安全编码规范 < Version1.0> 保密申明 本文档版权由天翼***信息技术部所有。 未经天翼***信 息技术部书面许可，任何单位和个人不得以任何形式摘抄、复制本文档的部分或全部， 并以任何形式传播 1 通用安全编码规范 目录 1 目的 ....................................................................................................................................................................... 4 2 范围 ....................................................................................................................................................................... 4 3 规范概述 ............................................................................................................................................................... 4 4 安全编码的原则 ................................................................................................................................................... 5 5 WEB应用程序常见安全问题 ................................................................................................................................ 5 5.1 跨站脚本攻击 ............................................................................................................................... 6 5.1.1 定义 ....................................................................................................................................... 6 5.1.2 危害 ....................................................................................................................................... 6 5.1.3 解决方法 ............................................................................................................................... 7 5.2 SQL注入 ........................................................................................................................................ 9 5.2.1 定义 ....................................................................................................................................... 9 5.2.2 危害 ..................................................................................................................................... 10 5.2.3 解决方法 ............................................................................................................................. 10 5.3 恶意脚本执行 ............................................................................................................................. 11 5.3.1 定义 ..................................................................................................................................... 11 5.3.2 5.3.3 危害 ..................................................................................................................................... 12 解决方法 ............................................................................................................................. 12 5.4 文件上传漏洞 ............................................................................................................................. 12 5.4.1 定义 ..................................................................................................................................... 12 5.4.2 危害 ..................................................................................................................................... 12 5.4.3 解决方案 ............................................................................................................................. 12 5.5 传输敏感信息未使用安全通道 ................................................................................................. 13 5.5.1 定义 ..................................................................................................................................... 13 5.5.2 危害 ..................................................................................................................................... 13 5.5.3 解决方案 ............................................................................................................................. 13 5.6 信息泄漏和错误处理不当 ......................................................................................................... 13 5.6.1 定义 ..................................................................................................................................... 13 5.6.2 危害 ..................................................................................................................................... 14 5.6.3 解决方案 ............................................................................................................................. 14 5.7 跨站请求伪造 ............................................................................................................................. 15 5.7.1 定义 ..................................................................................................................................... 15 5.7.2 危害 ..................................................................................................................................... 15 5.7.3 代码示例 ............................................................................................................................. 15 5.7.4 解决方案 ............................................................................................................................. 16 5.8 访问控制缺陷 ............................................................................................................................. 17 5.8.1 权限提升 ............................................................................................................................. 17 5.8.2 不安全的直接对象引用 ..................................................................................................... 18 5.9 不安全的加密 ............................................................................................................................. 20 5.9.1 定义 ..................................................................................................................................... 20 5.9.2 弱加密示例 ......................................................................................................................... 21 5.9.3 解决方案 ............................................................................................................................. 21 5.10 限制 URL访问失效 ..................................................................................................................... 21 5.10.1 定义 ............................................................................................................................. 21 5.10.2 解决方案 ..................................................................................................................... 22 5.11 Session 管理 .............................................................................................................................. 22 2 通用安全编码规范 5.11.1 Cookie http only flag ........................................................................................... 22 5.11.2 Cookie Secure flag ................................................................................................. 23 5.11.3 Session Expires ....................................................................................................... 25 5.12 日志和监测 ................................................................................................................................. 26 6 WEB应用程序安全编码要点 .............................................................................................................................. 26 6.1 SOCKET 网络安全编程要求 .................................................................................................... 26 6.2 安全认证要求 ............................................................................................................................. 27 6.2.1 图片验证码 ......................................................................................................................... 27 6.2.2 短信验证码 ......................................................................................................................... 28 6.3 加密方法及强度要求 .............................. 内容过长，仅展示头部和尾部部分文字预览，全文请查看图片预览。 5.7.1 定义 通用安全编码规范 Cross-Site Request Forger（y CSRF），跨站请求伪造攻击。 攻击者在用户浏览网页时，利用页面元素（例如 img 的 src），强迫受害者 的浏览器向 Web 应用程序发送一个改变用户信息的请求。 5.7.2 危害 由于发生 CSRF攻击后，攻击者是强迫用户向服务器发送请求， 所以会造成 用户信息被迫修改，更严重者引发蠕虫攻击。 CSRF攻击可以从站外和站内发起。从站内发起 CSRF攻击，需要利用网站 本身的业务，比如“自定义头像”功能，恶意用户指定自己的头像 URL是一个 修改用户信息的链接， 当其他已登录用户浏览恶意用户头像时， 会自动向这个 链接发送修改信息请求。 从站外发送请求，则需要恶意用户在自己的服务器上，放一个自动提交修 改个人信息的 html 页面，并把页面地址发给受害者用户， 受害者用户打开时， 会发起一个请求。 如果恶意用户能够知道网站管理后台某项功能的 URL，就可以直接攻击管 理员，强迫管理员执行恶意用户定义的操作。 5.7.3 代码示例 一个没有 CSRF 安全防御的代码如下： 15 [文章尾部最后500字内容到此结束,中间部分内容请查看底下的图片预览]请点击下方选择您需要的文档下载。

1. 8K-荣誉证书模版 工作版
2. *_**组织架构图_
3. 加压送风计算书封面（地下室）
4. *** 钢材焊接检验原始记录表
5. 学校近期招聘会汇总
6. ***关于假期的通知
7. 个人工作年终小结
8. 综合实践报告参考
9. 发票遗失证明
10. 公司培训报名表
11. 公司报价合同模板
12. 公司收购股权提示性公告
13. 附件1：中国***“青年骏才”计划招聘专业
14. 工程混凝土养护专项方案
15. 合理化建议表
16. 通用安全编码规范
17. 电商3183班-实习信息汇总表

以上为《通用安全编码规范》的无排版文字预览，完整内容请下载

通用安全编码规范由用户“caodan8808”分享发布，转载请注明出处 回顶部 | 首页 | 电脑版 | 举报反馈 更新时间2020-03-29 15:21:26