已阅读5页,还剩13页未读, 继续免费阅读
版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
WEB 应用安全基线 中国移动通信有限公司第 1 页 共 18 页 WebWeb 应用安全配置基线应用安全配置基线 中国移动通信有限公司 管理信息系统部 2009 年 3 月 WEB 应用安全基线 中国移动通信有限公司第 2 页 共 18 页 版本版本版本控制信息版本控制信息更新日期更新日期更新人更新人审批人审批人 V1 0创建2009 年 1 月 备注 备注 1 若此文档需要日后更新 请创建人填写版本控制表格 否则删除版本控制表格 WEB 应用安全基线 中国移动通信有限公司第 3 页 共 18 页 目目 录录 第第 1 章章概述概述 5 1 1目的 5 1 2适用范围 5 1 3适用版本 5 1 4实施 5 1 5例外条款 5 第第 2 章章身份与访问控制身份与访问控制 6 2 1账户锁定策略 6 2 2登录用图片验证码 6 2 3口令传输 6 2 4保存登录功能 6 2 5纵向访问控制 7 2 6横向访问控制 7 2 7敏感资源的访问 7 第第 3 章章会话管理会话管理 8 3 1会话超时 8 3 2会话终止 8 3 3会话标识 8 3 4会话标识复用 8 第第 4 章章代码质量代码质量 10 4 1防范跨站脚本攻击 10 4 2防范 SQL 注入攻击 10 4 3防止路径遍历攻击 10 4 4防止命令注入攻击 11 4 5防止代码注入攻击 11 4 6防止其他常见的注入攻击 11 4 7防止下载敏感资源文件 11 4 8防止用户上传后门脚本 12 4 9保证多线程安全 12 4 10保证释放资源 12 第第 5 章章内容管理内容管理 13 5 1加密存储敏感信息 13 5 2避免敏感文件下载 13 5 3避免泄露敏感技术细节 13 第第 6 章章防钓鱼与防垃圾邮件防钓鱼与防垃圾邮件 14 6 1防钓鱼 14 6 2防垃圾邮件 14 WEB 应用安全基线 中国移动通信有限公司第 4 页 共 18 页 第第 7 章章密码算法密码算法 15 7 1安全算法 15 7 2密钥管理 15 第第 8 章章系统日志系统日志 16 8 1日志内容 16 8 2日志保护 16 第第 9 章章安装配置安装配置 17 9 1组件漏洞 17 9 2组件缺省账号密码 17 9 3组件操作系统账号 17 9 4组件安全加固 17 9 5语言设置 18 9 6DMZ 安全隔离 18 9 7数据库服务器安全隔离 18 9 8WAF 使用 19 9 9文件完整性监控 19 9 10防病毒软件 19 第第 10 章章安全维护安全维护 20 10 1物理安全 20 第第 11 章章评审与修订评审与修订 21 WEB 应用安全基线 中国移动通信有限公司第 5 页 共 18 页 第第 1 章章概述概述 1 1 目的目的 本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的 Web 应用服务器 应当遵循的安全标准 本文档旨在指导系统管理人员进行 Web 应用安全基线检查 1 2 适用范围适用范围 本配置标准的使用者包括 服务器系统管理员 应用程序管理员 网络安全管理员 本配置标准适用的范围包括 中国移动总部和各省公司信息化部门所维护管理的 Web 应用系统 1 3 适用版本适用版本 基于 B S 架构的 Web 应用 1 4 实施实施 本标准的解释权和修改权属于中国移动通信有限公司管理信息系统部 在本标准的执行过程中若有任何疑问或建议 应及时反馈 本标准发布之日起生效 1 5 例外条款例外条款 欲申请本标准的例外条款 申请人必须准备书面申请文件 说明业务需求和原因 送 交中国移动通信有限公司管理信息系统部进行审批备案 WEB 应用安全基线 中国移动通信有限公司第 6 页 共 18 页 第第 2 章章身份与访问控制身份与访问控制 2 1 账户锁定策略账户锁定策略 安全基线项安全基线项 目名称目名称 Web 应用账户锁定策略安全基线要求项 安全基线编安全基线编 号号 SBL WebAPP 02 01 01 安全基线项安全基线项 说明说明 用户登录失败一定次数后系统自动锁定账号一段时间 以防止暴力猜测密码 检测操作步检测操作步 骤骤 尝试使用错误用户名口令失败登录多次 基线符合性基线符合性 判定依据判定依据 用户登录失败一定次数后系统自动锁定账号 备注备注 2 2 登录用图片验证码登录用图片验证码 安全基线项安全基线项 目名称目名称 Web 应用登录验证策略安全基线要求项 安全基线编安全基线编 号号 SBL WebAPP 02 02 01 安全基线项安全基线项 说明说明 用户登录需提供图片验证码 以防止固定密码暴力猜测账号 检测操作步检测操作步 骤骤 检查登录认证界面输入项 并右键点击图片查看链接属性 基线符合性基线符合性 判定依据判定依据 要求包含图片验证码输入项 并且图片链接属性不得包含明文图片验证码 备注备注 2 3 口令传输口令传输 安全基线项安全基线项 目名称目名称 Web 应用口令传输策略安全基线要求项 安全基线编安全基线编 号号 SBL WebAPP 02 03 01 WEB 应用安全基线 中国移动通信有限公司第 7 页 共 18 页 安全基线项安全基线项 说明说明 不能明文传输用户登录密码 检测操作步检测操作步 骤骤 尝试登录系统 并使用抓包工具查看交互过程中在网络传输的内容 基线符合性基线符合性 判定依据判定依据 要求不得出现明文口令 备注备注 2 4 保存登录功能保存登录功能 安全基线项安全基线项 目名称目名称 Web 应用保存登录安全基线要求项 安全基线编安全基线编 号号 SBL WebAPP 02 04 01 安全基线项安全基线项 说明说明 不能提供 保存登录 功能 该功能可能被利用于 CSRF 攻击 检测操作步检测操作步 骤骤 检查登录界面是否提供了保存登录功能 基线符合性基线符合性 判定依据判定依据 不得提供该功能 备注备注 2 5 纵向访问控制纵向访问控制 安全基线项安全基线项 目名称目名称 Web 应用纵向访问安全基线要求项 安全基线编安全基线编 号号 SBL WebAPP 02 05 01 安全基线项安全基线项 说明说明 合理进行纵向访问控制 不允许普通用户访问管理功能 检测操作步检测操作步 骤骤 了解是否有不允许普通用户访问的功能 尝试直接在浏览器中访问功能链接 基线符合性基线符合性 判定依据判定依据 用户不得跨权限访问受控页面 备注备注 2 6 横向访问控制横向访问控制 安全基线项安全基线项 Web 应用横向访问安全基线要求项 WEB 应用安全基线 中国移动通信有限公司第 8 页 共 18 页 目名称目名称 安全基线编安全基线编 号号 SBL WebAPP 02 06 01 安全基线项安全基线项 说明说明 合理进行横向访问控制 不允许用户访问其他用户的敏感数据 检测操作步检测操作步 骤骤 了解是否存在敏感信息 检查是否对个人敏感信息进行了有效保护 基线符合性基线符合性 判定依据判定依据 用户不得跨权限查看其它用户受保护敏感信息 备注备注 2 7 敏感资源的访问敏感资源的访问 安全基线项安全基线项 目名称目名称 Web 应用敏感资源访问安全基线要求项 安全基线编安全基线编 号号 SBL WebAPP 02 07 01 安全基线项安全基线项 说明说明 需要限制对敏感资源的访问 例如后台管理 日志记录等 检测操作步检测操作步 骤骤 检查服务器的文件是否存在敏感资源 测试是否限制了这些资源的访问 基线符合性基线符合性 判定依据判定依据 对敏感资源的访问应当受控 备注备注 WEB 应用安全基线 中国移动通信有限公司第 9 页 共 18 页 第第 3 章章会话管理会话管理 3 1 会话超时会话超时 安全基线项安全基线项 目名称目名称 Web 应用会话超时安全基线要求项 安全基线编安全基线编 号号 SBL WebAPP 03 01 01 安全基线项安全基线项 说明说明 当用户长时间不操作时 系统自动终止超时会话 检测操作步检测操作步 骤骤 登录系统后不操作 等待合理的时间间隔 基线符合性基线符合性 判定依据判定依据 要求预先设计的时间间隔后查看页面自动中止超时会话 备注备注 3 2 会话终止会话终止 安全基线项安全基线项 目名称目名称 Web 应用会话终止安全基线要求项 安全基线编安全基线编 号号 SBL WebAPP 03 02 01 安全基线项安全基线项 说明说明 系统需提供 退出 功能 允许用户强制终止当前的会话 检测操作步检测操作步 骤骤 登录系统后点击系统提供的 退出 功能 然后在同一 IE 窗口下视图回退 到登录后的页面 并访问相应的功能 基线符合性基线符合性 判定依据判定依据 点击退出后 上述检测操作结果不成功 备注备注 3 3 会话标识会话标识 安全基线项安全基线项 目名称目名称 Web 应用会话标识安全基线要求项 安全基线编安全基线编 号号 SBL WebAPP 03 03 01 安全基线项安全基线项 会话标识必须足够随机 防止攻击者猜测标识或依据当前标识推导后续的标 WEB 应用安全基线 中国移动通信有限公司第 10 页 共 18 页 说明说明 识 检测操作步检测操作步 骤骤 检查多个会话标识的格式 基线符合性基线符合性 判定依据判定依据 多个会话标识不得存在简单明了的逻辑关系 要求具有随机性 备注备注 3 4 会话标识复用会话标识复用 安全基线项安全基线项 目名称目名称 Web 应用会话标识复用安全基线要求项 安全基线编安全基线编 号号 SBL WebAPP 03 04 01 安全基线项安全基线项 说明说明 用户登录后必须分配新的会话标识 不能继续使用用户未登录前所使用的标 识 检测操作步检测操作步 骤骤 检查登录前后是否使用相同的会话标识 基线符合性基线符合性 判定依据判定依据 用户登录后必须分配新的会话标识 不能继续使用用户未登录前所使用的标 识 备注备注 WEB 应用安全基线 中国移动通信有限公司第 11 页 共 18 页 第第 4 章章代码质量代码质量 4 1 防范跨站脚本攻击防范跨站脚本攻击 安全基线项安全基线项 目名称目名称 Web 应用防范跨站脚本安全基线要求项 安全基线编安全基线编 号号 SBL WebAPP 04 01 01 安全基线项安全基线项 说明说明 系统要防止将用户输入未经检查就直接输出到用户浏览器 防范跨站脚本攻 击 检测操作步检测操作步 骤骤 检查系统是否存在跨站脚本攻击漏洞 例如在能够回显的输入框输入 alert xss 基线符合性基线符合性 判定依据判定依据 要求系统能够将输入内容中的控制字当作纯文本内容处理 备注备注 4 2 防范防范 SQL 注入攻击注入攻击 安全基线项安全基线项 目名称目名称 Web 应用防范 SQL 注入安全基线要求项 安全基线编安全基线编 号号 SBL WebAPP 04 02 01 安全基线项安全基线项 说明说明 系统要防止将用户输入未经检查就用于构造数据库查询 防范 SQL 注入攻 击 检测操作步检测操作步 骤骤 检查系统是否存在 SQL 注入漏洞 例如在输入框中输入 基线符合性基线符合性 判定依据判定依据 系统要使用诸如 prepared statement 等方式防止 SQL 注入 将输入内容中的 控制字也当作纯文本处理 备注备注 4 3 防止路径遍历攻击防止路径遍历攻击 安全基线项安全基线项 目名称目名称 Web 应用防范路径遍历安全基线要求项 安全基线编安全基线编 SBL WebAPP 04 03 01 WEB 应用安全基线 中国移动通信有限公司第 12 页 共 18 页 号号 安全基线项安全基线项 说明说明 系统要防止将用户输入未经检查就用于构造文件路径 防止路径遍历攻击 检测操作步检测操作步 骤骤 尝试在 URL 与输入中构造文件路径并查看页面反应 基线符合性基线符合性 判定依据判定依据 不允许通过构造文件路径的方式直接查看文件 备注备注 4 4 防止命令注入攻击防止命令注入攻击 安全基线项安全基线项 目名称目名称 Web 应用防范命令注入安全基线要求项 安全基线编安全基线编 号号 SBL WebAPP 04 04 01 安全基线项安全基线项 说明说明 系统要防止将用户输入未经检查就用于构造操作系统命令并执行 检测操作步检测操作步 骤骤 尝试在各个输入点进行命令注入攻击 基线符合性基线符合性 判定依据判定依据 命令注入攻击不得成功 备注备注 4 5 防止其他常见的注入攻击防止其他常见的注入攻击 安全基线项安全基线项 目名称目名称 Web 应用防范其它注入安全基线要求项 安全基线编安全基线编 号号 SBL WebAPP 04 05 01 安全基线项安全基线项 说明说明 防止系统存在 LDAP 注入 XML 注入 XPATH 注入 SMTP 注入等漏洞 检测操作步检测操作步 骤骤 尝试在各个输入点进行其它常见注入攻击 基线符合性基线符合性 判定依据判定依据 各类注入攻击不得成功 备注备注 WEB 应用安全基线 中国移动通信有限公司第 13 页 共 18 页 4 6 防止下载敏感资源文件防止下载敏感资源文件 安全基线项安全基线项 目名称目名称 Web 应用防范下载漏洞安全基线要求项 安全基线编安全基线编 号号 SBL WebAPP 04 06 01 安全基线项安全基线项 说明说明 如果系统提供了下载功能 要防止用户通过路径遍历漏洞下载敏感资源文件 检测操作步检测操作步 骤骤 如果系统提供了下载功能 试图通过路径遍历漏洞下载敏感资源文件 基线符合性基线符合性 判定依据判定依据 各类下载攻击不得成功 备注备注 4 7 防止上传后门脚本防止上传后门脚本 安全基线项安全基线项 目名称目名称 Web 应用防范上传漏洞安全基线要求项 安全基线编安全基线编 号号 SBL WebAPP 04 07 01 安全基线项安全基线项 说明说明 如果系统提供了文件上传功能 要防止用户上传后门脚本 检测操作步检测操作步 骤骤 如果系统提供了上传功能 试图通过上传功能上传恶意文件 基线符合性基线符合性 判定依据判定依据 各类上传攻击不得成功 备注备注 4 8 保证多线程安全保证多线程安全 安全基线项安全基线项 目名称目名称 Web 应用多线程安全基线要求项 安全基线编安全基线编 号号 SBL WebAPP 04 08 01 安全基线项安全基线项 说明说明 如果系统某资源可被多人同时修改 或被同一用户经过不同的方式同时修改 WEB 应用安全基线 中国移动通信有限公司第 14 页 共 18 页 或被用户线程与系统线程同时修改 需要保证多线程安全 检测操作步检测操作步 骤骤 如果系统存在多线程问题 分析保护多线程访问资源的安全解决方案 基线符合性基线符合性 判定依据判定依据 必须有适当的解决方案 备注备注 4 9 保证释放资源保证释放资源 安全基线项安全基线项 目名称目名称 Web 应用释放资源基线要求项 安全基线编安全基线编 号号 SBL WebAPP 04 09 01 安全基线项安全基线项 说明说明 系统需保证在正常与异常流程时都能正确释放不需要的资源 例如打开的文 件 数据库连接等 检测操作步检测操作步 骤骤 分析正常与异常流程中资源释放的动作 基线符合性基线符合性 判定依据判定依据 资源释放覆盖所有流程分支 备注备注 WEB 应用安全基线 中国移动通信有限公司第 15 页 共 18 页 第第 5 章章内容管理内容管理 5 1 加密存储敏感信息加密存储敏感信息 安全基线项安全基线项 目名称目名称 Web 应用加密存储敏感信息基线要求项 安全基线编安全基线编 号号 SBL WebAPP 05 01 01 安全基线项安全基线项 说明说明 系统应当加密存储敏感信息 如密码 信用卡号等 检测操作步检测操作步 骤骤 分析系统中敏感信息的存储与加密 基线符合性基线符合性 判定依据判定依据 要求加密算法安全 对信息有适当访问控制 备注备注 5 2 避免泄露敏感技术细节避免泄露敏感技术细节 安全基线项安全基线项 目名称目名称 Web 应用信息泄漏基线要求项 安全基线编安全基线编 号号 SBL WebAPP 05 02 01 安全基线项安全基线项 说明说明 系统应当避免向用户提示过多的技术细节 防止被攻击者利用 例如错误信 息中可能包含 SQL 语句 这有利于攻击者构造合法的攻击字串 又如 Html 中可能包含了技术性的注释语句 可能被攻击者利用 检测操作步检测操作步 骤骤 分析各个页面的源码 查看提示页面 尤其是出错提示页面 基线符合性基线符合性 判定依据判定依据 各个页面不得包含技术性注释 各个提示页面不得包含 Web 服务器版本 源代码等信息 备注备注 WEB 应用安全基线 中国移动通信有限公司第 16 页 共 18 页 第第 6 章章防钓鱼与防垃圾邮件防钓鱼与防垃圾邮件 6 1 防钓鱼防钓鱼 安全基线项安全基线项 目名称目名称 Web 应用重定向基线要求项 安全基线编安全基线编 号号 SBL WebAPP 06 01 01 安全基线项安全基线项 说明说明 系统应当避免通过用户控制的参数来重定向或包含另外一个网站的内容 检测操作步检测操作步 骤骤 分析系统存在任意重定向或包含其它网站内容的控制 基线符合性基线符合
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 标准的商铺租赁合同格式
- 2024年劳务钢筋工分包合同
- 2024年砌体抹灰劳务分包合同模板书模板
- 工程所需材料购销协议样本
- 非排他性技术使用合同书
- 施工个人劳务合同
- 虾养殖业收购合同解读
- 个人合作合同范本
- 股权委托交易协议
- 广州市2024年版网签合同样本
- 广东省深圳市深圳实验学校初中部2023-2024学年七年级上学期英语期中考试卷
- GB/T 144-2024原木检验
- (高清版)TDT 1062-2021 社区生活圈规划技术指南
- 安全生产治本攻坚三年行动方案(2024-2026年)解读
- T-GDWJ 020-2023 医疗机构医疗护理员服务规范
- 货物道路运输安全培训课件
- 普通高中物理课程标准样本
- 子宫内低氧症护理措施
- 中国健康生活方式预防心血管代谢疾病指南
- 跨境电子商务平台的数据治理策略
- 2023年12月2024届广州市高三年级调研测试英语试卷
评论
0/150
提交评论