Web应用安全配置基线

1、WebWeb 应用安全配置基线应用安全配置基线 中国移动通信有限公司 管理信息系统部 2009 年 3 月 版本版本版本控制信息版本控制信息更新日期更新日期更新人更新人审批人审批人 V1.0创建2009 年 1 月 备注：备注： 1. 若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。 目目 录录 第第 1 章章概述概述.5 1.1目的.5 1.2适用范围.5 1.3适用版本.5 1.4实施.5 1.5例外条款.5 第第 2 章章身份与访问控制身份与访问控制.6 2.1账户锁定策略.6 2.2登录用图片验证码.6 2.3口令传输.6 2.4保存登录功能.6 2.5纵向访问控

2、制.7 2.6横向访问控制.7 2.7敏感资源的访问.7 第第 3 章章会话管理会话管理.8 3.1会话超时.8 3.2会话终止.8 3.3会话标识.8 3.4会话标识复用.8 第第 4 章章代码质量代码质量.10 4.1防范跨站脚本攻击.10 4.2防范 SQL 注入攻击.10 4.3防止路径遍历攻击.10 4.4防止命令注入攻击.11 4.5防止代码注入攻击.11 4.6防止其他常见的注入攻击.11 4.7防止下载敏感资源文件.11 4.8防止用户上传后门脚本.12 4.9保证多线程安全.12 4.10保证释放资源.12 第第 5 章章内容管理内容管理.13 5.1加密存储敏感信息.13

3、5.2避免敏感文件下载.13 5.3避免泄露敏感技术细节.13 第第 6 章章防钓鱼与防垃圾邮件防钓鱼与防垃圾邮件.14 6.1防钓鱼.14 6.2防垃圾邮件.14 第第 7 章章密码算法密码算法.15 7.1安全算法.15 7.2密钥管理.15 第第 8 章章系统日志系统日志.16 8.1日志内容.16 8.2日志保护.16 第第 9 章章安装配置安装配置.17 9.1组件漏洞.17 9.2组件缺省账号密码.17 9.3组件操作系统账号.17 9.4组件安全加固.17 9.5语言设置.18 9.6DMZ 安全隔离.18 9.7数据库服务器安全隔离.18 9.8WAF 使用.19 9.9文件完

4、整性监控.19 9.10防病毒软件.19 第第 10 章章安全维护安全维护 .20 10.1物理安全.20 第第 11 章章评审与修订评审与修订 .21 第第 1 章章概述概述 1.1 目的目的 本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的 Web 应用服务器 应当遵循的安全标准，本文档旨在指导系统管理人员进行 Web 应用安全基线检查。 1.2 适用范围适用范围 本配置标准的使用者包括：服务器系统管理员、应用程序管理员、网络安全管理员。 本配置标准适用的范围包括：中国移动总部和各省公司信息化部门所维护管理的 Web 应用系统。 1.3 适用版本适用版本 基于 B/S 架构的

5、Web 应用 1.4 实施实施 本标准的解释权和修改权属于中国移动通信有限公司管理信息系统部。 在本标准的执行过程中若有任何疑问或建议，应及时反馈。 本标准发布之日起生效。 1.5 例外条款例外条款 欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送 交中国移动通信有限公司管理信息系统部进行审批备案。 第第 2 章章身份与访问控制身份与访问控制 2.1 账户锁定策略账户锁定策略 安全基线项安全基线项 目名称目名称 Web 应用账户锁定策略安全基线要求项 安全基线编安全基线编 号号 SBL-WebAPP-02-01-01 安全基线项安全基线项 说明说明 用户登录失败一定次

6、数后系统自动锁定账号一段时间，以防止暴力猜测密码。 检测操作步检测操作步 骤骤 尝试使用错误用户名口令失败登录多次， 基线符合性基线符合性 判定依据判定依据 用户登录失败一定次数后系统自动锁定账号。 备注备注 2.2 登录用图片验证码登录用图片验证码 安全基线项安全基线项 目名称目名称 Web 应用登录验证策略安全基线要求项 安全基线编安全基线编 号号 SBL-WebAPP-02-02-01 安全基线项安全基线项 说明说明 用户登录需提供图片验证码，以防止固定密码暴力猜测账号。 检测操作步检测操作步 骤骤 检查登录认证界面输入项，并右键点击图片查看链接属性。 基线符合性基线符合性 判定依据判定

7、依据 要求包含图片验证码输入项，并且图片链接属性不得包含明文图片验证码。 备注备注 2.3 口令传输口令传输 安全基线项安全基线项 目名称目名称 Web 应用口令传输策略安全基线要求项 安全基线编安全基线编 号号 SBL-WebAPP-02-03-01 安全基线项安全基线项 说明说明 不能明文传输用户登录密码。 检测操作步检测操作步 骤骤 尝试登录系统，并使用抓包工具查看交互过程中在网络传输的内容。 基线符合性基线符合性 判定依据判定依据 要求不得出现明文口令 备注备注 2.4 保存登录功能保存登录功能 安全基线项安全基线项 目名称目名称 Web 应用保存登录安全基线要求项 安全基线编安全基线

8、编 号号 SBL-WebAPP-02-04-01 安全基线项安全基线项 说明说明 不能提供“保存登录”功能，该功能可能被利用于 CSRF 攻击。 检测操作步检测操作步 骤骤 检查登录界面是否提供了保存登录功能 基线符合性基线符合性 判定依据判定依据 不得提供该功能。 备注备注 2.5 纵向访问控制纵向访问控制 安全基线项安全基线项 目名称目名称 Web 应用纵向访问安全基线要求项 安全基线编安全基线编 号号 SBL-WebAPP-02-05-01 安全基线项安全基线项 说明说明 合理进行纵向访问控制，不允许普通用户访问管理功能。 检测操作步检测操作步 骤骤 了解是否有不允许普通用户访问的功能，

9、尝试直接在浏览器中访问功能链接。 基线符合性基线符合性 判定依据判定依据 用户不得跨权限访问受控页面 备注备注 2.6 横向访问控制横向访问控制 安全基线项安全基线项 Web 应用横向访问安全基线要求项 目名称目名称 安全基线编安全基线编 号号 SBL-WebAPP-02-06-01 安全基线项安全基线项 说明说明 合理进行横向访问控制，不允许用户访问其他用户的敏感数据。 检测操作步检测操作步 骤骤 了解是否存在敏感信息，检查是否对个人敏感信息进行了有效保护 基线符合性基线符合性 判定依据判定依据 用户不得跨权限查看其它用户受保护敏感信息 备注备注 2.7 敏感资源的访问敏感资源的访问 安全基

10、线项安全基线项 目名称目名称 Web 应用敏感资源访问安全基线要求项 安全基线编安全基线编 号号 SBL-WebAPP-02-07-01 安全基线项安全基线项 说明说明 需要限制对敏感资源的访问，例如后台管理，日志记录等。 检测操作步检测操作步 骤骤 检查服务器的文件是否存在敏感资源，测试是否限制了这些资源的访问。 基线符合性基线符合性 判定依据判定依据 对敏感资源的访问应当受控。 备注备注 第第 3 章章会话管理会话管理 3.1 会话超时会话超时 安全基线项安全基线项 目名称目名称 Web 应用会话超时安全基线要求项 安全基线编安全基线编 号号 SBL-WebAPP-03-01-01 安全基

11、线项安全基线项 说明说明 当用户长时间不操作时，系统自动终止超时会话。 检测操作步检测操作步 骤骤 登录系统后不操作，等待合理的时间间隔。 基线符合性基线符合性 判定依据判定依据 要求预先设计的时间间隔后查看页面自动中止超时会话。 备注备注 3.2 会话终止会话终止 安全基线项安全基线项 目名称目名称 Web 应用会话终止安全基线要求项 安全基线编安全基线编 号号 SBL-WebAPP-03-02-01 安全基线项安全基线项 说明说明 系统需提供“退出”功能，允许用户强制终止当前的会话。 检测操作步检测操作步 骤骤 登录系统后点击系统提供的“退出”功能，然后在同一 IE 窗口下视图回退 到登录

12、后的页面，并访问相应的功能 基线符合性基线符合性 判定依据判定依据 点击退出后，上述检测操作结果不成功 备注备注 3.3 会话标识会话标识 安全基线项安全基线项 目名称目名称 Web 应用会话标识安全基线要求项 安全基线编安全基线编 号号 SBL-WebAPP-03-03-01 安全基线项安全基线项 会话标识必须足够随机，防止攻击者猜测标识或依据当前标识推导后续的标 说明说明 识。 检测操作步检测操作步 骤骤 检查多个会话标识的格式。 基线符合性基线符合性 判定依据判定依据 多个会话标识不得存在简单明了的逻辑关系，要求具有随机性 备注备注 3.4 会话标识复用会话标识复用 安全基线项安全基线项

13、 目名称目名称 Web 应用会话标识复用安全基线要求项 安全基线编安全基线编 号号 SBL-WebAPP-03-04-01 安全基线项安全基线项 说明说明 用户登录后必须分配新的会话标识，不能继续使用用户未登录前所使用的标 识。 检测操作步检测操作步 骤骤 检查登录前后是否使用相同的会话标识。 基线符合性基线符合性 判定依据判定依据 用户登录后必须分配新的会话标识，不能继续使用用户未登录前所使用的标 识。 备注备注 第第 4 章章代码质量代码质量 4.1 防范跨站脚本攻击防范跨站脚本攻击 安全基线项安全基线项 目名称目名称 Web 应用防范跨站脚本安全基线要求项 安全基线编安全基线编 号号 S

14、BL-WebAPP-04-01-01 安全基线项安全基线项 说明说明 系统要防止将用户输入未经检查就直接输出到用户浏览器，防范跨站脚本攻 击。CSRF 检测操作步检测操作步 骤骤 检查系统是否存在跨站脚本攻击漏洞。例如在能够回显的输入框输入 alert(“xss”) 基线符合性基线符合性 判定依据判定依据 要求系统能够将输入内容中的控制字当作纯文本内容处理 备注备注 4.2 防范防范 SQL 注入攻击注入攻击 安全基线项安全基线项 目名称目名称 Web 应用防范 SQL 注入安全基线要求项 安全基线编安全基线编 号号 SBL-WebAPP-04-02-01 安全基线项安全基线项 说明说明 系统

15、要防止将用户输入未经检查就用于构造数据库查询，防范 SQL 注入攻 击。 检测操作步检测操作步 骤骤 检查系统是否存在 SQL 注入漏洞。例如在输入框中输入 基线符合性基线符合性 判定依据判定依据 系统要使用诸如 prepared statement 等方式防止 SQL 注入，将输入内容中的 控制字也当作纯文本处理 备注备注 4.3 防止路径遍历攻击防止路径遍历攻击 安全基线项安全基线项 目名称目名称 Web 应用防范路径遍历安全基线要求项 安全基线编安全基线编 SBL-WebAPP-04-03-01 号号 安全基线项安全基线项 说明说明 系统要防止将用户输入未经检查就用于构造文件路径，防止路

16、径遍历攻击。 检测操作步检测操作步 骤骤 尝试在 URL 与输入中构造文件路径并查看页面反应 基线符合性基线符合性 判定依据判定依据 不允许通过构造文件路径的方式直接查看文件 备注备注 4.4 防止命令注入攻击防止命令注入攻击 安全基线项安全基线项 目名称目名称 Web 应用防范命令注入安全基线要求项 安全基线编安全基线编 号号 SBL-WebAPP-04-04-01 安全基线项安全基线项 说明说明 系统要防止将用户输入未经检查就用于构造操作系统命令并执行。 检测操作步检测操作步 骤骤 尝试在各个输入点进行命令注入攻击 基线符合性基线符合性 判定依据判定依据 命令注入攻击不得成功 备注备注 4

17、.5 防止其他常见的注入攻击防止其他常见的注入攻击 安全基线项安全基线项 目名称目名称 Web 应用防范其它注入安全基线要求项 安全基线编安全基线编 号号 SBL-WebAPP-04-05-01 安全基线项安全基线项 说明说明 防止系统存在 LDAP 注入、XML 注入、XPATH 注入、SMTP 注入等漏洞。 检测操作步检测操作步 骤骤 尝试在各个输入点进行其它常见注入攻击 基线符合性基线符合性 判定依据判定依据 各类注入攻击不得成功 备注备注 4.6 防止下载敏感资源文件防止下载敏感资源文件 安全基线项安全基线项 目名称目名称 Web 应用防范下载漏洞安全基线要求项 安全基线编安全基线编

18、号号 SBL-WebAPP-04-06-01 安全基线项安全基线项 说明说明 如果系统提供了下载功能，要防止用户通过路径遍历漏洞下载敏感资源文件。 检测操作步检测操作步 骤骤 如果系统提供了下载功能，试图通过路径遍历漏洞下载敏感资源文件。 基线符合性基线符合性 判定依据判定依据 各类下载攻击不得成功 备注备注 4.7 防止上传后门脚本防止上传后门脚本 安全基线项安全基线项 目名称目名称 Web 应用防范上传漏洞安全基线要求项 安全基线编安全基线编 号号 SBL-WebAPP-04-07-01 安全基线项安全基线项 说明说明 如果系统提供了文件上传功能，要防止用户上传后门脚本。 检测操作步检测操

19、作步 骤骤 如果系统提供了上传功能，试图通过上传功能上传恶意文件。 基线符合性基线符合性 判定依据判定依据 各类上传攻击不得成功 备注备注 4.8 保证多线程安全保证多线程安全 安全基线项安全基线项 目名称目名称 Web 应用多线程安全基线要求项 安全基线编安全基线编 号号 SBL-WebAPP-04-08-01 安全基线项安全基线项 说明说明 如果系统某资源可被多人同时修改，或被同一用户经过不同的方式同时修改， 或被用户线程与系统线程同时修改，需要保证多线程安全。 检测操作步检测操作步 骤骤 如果系统存在多线程问题，分析保护多线程访问资源的安全解决方案 基线符合性基线符合性 判定依据判定依据

20、 必须有适当的解决方案 备注备注 4.9 保证释放资源保证释放资源 安全基线项安全基线项 目名称目名称 Web 应用释放资源基线要求项 安全基线编安全基线编 号号 SBL-WebAPP-04-09-01 安全基线项安全基线项 说明说明 系统需保证在正常与异常流程时都能正确释放不需要的资源，例如打开的文 件，数据库连接等。 检测操作步检测操作步 骤骤 分析正常与异常流程中资源释放的动作 基线符合性基线符合性 判定依据判定依据 资源释放覆盖所有流程分支 备注备注 第第 5 章章内容管理内容管理 5.1 加密存储敏感信息加密存储敏感信息 安全基线项安全基线项 目名称目名称 Web 应用加密存储敏感信

21、息基线要求项 安全基线编安全基线编 号号 SBL-WebAPP-05-01-01 安全基线项安全基线项 说明说明 系统应当加密存储敏感信息，如密码、信用卡号等。 检测操作步检测操作步 骤骤 分析系统中敏感信息的存储与加密 基线符合性基线符合性 判定依据判定依据 要求加密算法安全，对信息有适当访问控制 备注备注 5.2 避免泄露敏感技术细节避免泄露敏感技术细节 安全基线项安全基线项 目名称目名称 Web 应用信息泄漏基线要求项 安全基线编安全基线编 号号 SBL-WebAPP-05-02-01 安全基线项安全基线项 说明说明 系统应当避免向用户提示过多的技术细节，防止被攻击者利用。例如错误信 息

22、中可能包含 SQL 语句，这有利于攻击者构造合法的攻击字串；又如 Html 中可能包含了技术性的注释语句，可能被攻击者利用。 检测操作步检测操作步 骤骤 分析各个页面的源码，查看提示页面，尤其是出错提示页面 基线符合性基线符合性 判定依据判定依据 各个页面不得包含技术性注释，各个提示页面不得包含 Web 服务器版本、 源代码等信息 备注备注 第第 6 章章防钓鱼与防垃圾邮件防钓鱼与防垃圾邮件 6.1 防钓鱼防钓鱼 安全基线项安全基线项 目名称目名称 Web 应用重定向基线要求项 安全基线编安全基线编 号号 SBL-WebAPP-06-01-01 安全基线项安全基线项 说明说明 系统应当避免通过用户控制的参数来重定向或包含另外一个网站的内容。 检测操作步检测操作步 骤骤 分析系统存在任意重定向或包含其它网站内容的控