Web安全常规检查项清单全套

Web安全常规检查项清单项目名称XXX系统XXX项目项目经理XXX产品负责人XXX研发负责人XXX测试负责人XXX说明1.产品团队根据项目需求，填写是否涉及/豁免相关安全需求。若豁免及不同意请在说明中写明理由，并于安全组沟通。（“产品体现”中红色字产品团队无需考虑，”是否同意“列中红色部分不允许修改）

2.开发团队开发完成后填写”是否完成研发“，若有补充内容请在补充备注处（如：功能场景无法实现等）。有任何问题请联系安全组。

3.测试团队和安全团队负责最后测试验收，完成闭环。

4.项目经理监督指导整个过程模块产品体现技术要求细节涉及/豁免是否同意说明是否完成研发研发备注测试是否通过测试备注会话1）登录页面上无记住密码功能（浏览器本身记住密码功能可使用）1）cookie中不允许出现用户账号和密码2）每个页面都必须有用户“注销”按钮，并且安全需要在明显位置2）每个页面都必须有用户“注销”按钮，并且安全需要在明显位置，且注销时请及时销毁session（非关闭）java中使用invalidate();默认涉及，若需修改请联系安全组。若涉及则必须同意安全要求细节3）cookie大小需要被限制，最大为4k同意4）登录以后session一定要更新，如使用request.changeSessionId()5）cookie中需要增加secure和httponly属性默认涉及，若需修改请联系安全组。若涉及则必须同意安全要求细节6）会话中参数需要进行加签同意3）用户无操作60分钟后需要重新登录7）客户空闲超时连接注销或自动断开必须不超过60分钟，当空闲超过60分钟，连接必须注销用户登录或自动断开连接（session设置超时为60分钟）用户必须重新登录。登录1）登录成功后，系统必须显示上次成功登录的时间以及自上次成功登录以来失败的登录次数。1）登录成功后，系统必须显示上次成功登录的时间以及自上次成功登录以来失败的登录次数。2）连续登录失败5次后，账号必须锁定2）连续登录失败5次后，账号必须锁定3）登录失败时，不允许系统提示登录失败原因（显示账号或密码错误，验证码单独提示验证码错误）3）登录失败时，不允许系统提示登录失败原因（显示账号或密码错误，验证码单独提示验证码错误）4）用户账户最多同时允许3个终端登录。4）用户账户最多同时允许3个终端登录。（用户绑定session来进行判断）默认涉及，若需修改请联系安全组。若涉及则必须同意安全要求细节5）登录过程中用户信息传输请满足敏感信息传输要求同意6）需要进行检查的功能项，前后端都要进行校验（密码长度，复杂度等等）5）登录过程中需要有验证码，防止暴力破解（可设置输入错误达到一定数目，弹出验证码）推荐使用滑块验证码7）登录过程中需要有验证码，防止暴力破解（可设置输入错误达到一定数目，弹出验证码）推荐使用滑块验证码注册1）注册过程中必须存在验证码，防止恶意注册1）注册过程中必须存在验证码，防止恶意注册默认涉及，若需修改请联系安全组。若涉及则必须同意安全要求细节2）注册过程中用户信息传输请满足敏感信息传输要求同意3）需要进行检查的功能项，前后端都要进行校验（密码长度，复杂度等等）敏感信息分类1）手机号，身份证号，用户密码一定归属于敏感信息1）用户私人信息，如手机号、身份证号、用户密码等默认涉及，若需修改请联系安全组。若涉及则必须同意安全要求细节2）产品经理定义同意敏感信息传输敏感信息是否需要进行模糊处理，是否需要二次鉴权以后才能查看1）用户查看敏感信息，第一次只能获取到模糊信息（后端模糊处理），二次鉴权（如再输入一次密码）和图形验证码才能获取到全部信息。（实现方案参考3）默认涉及，若需修改请联系安全组。若涉及则必须同意安全要求细节2）用户向服务器发送敏感信息时需要使用非对称加密算法（前端公钥加密，后端私钥解密）同意敏感信息存储默认涉及，若需修改请联系安全组。若涉及则必须同意安全要求细节1）密码必须采用认可的单向加密或杂乱编码加密后存储（建议使用sha-256以上密码强度算法），其他敏感信息是否加密存储由产品经理决定同意密码1）密码长度必须至少是8位字符1）密码长度必须至少是8位字符默认涉及，若需修改请联系安全组。若涉及则必须同意安全要求细节2）密码必须是以系统可支持的字符组成，包括数字、字母和一些不危险的特殊字符同意3）密码必须至少由字母（区分大小写）及数字组成3）密码必须至少一个字母及一个数字组成4）密码必须至少每90天修改一次4）密码必须至少每90天修改一次5）用户不能使用过去曾经使用过的10个密码5）用户不能使用过去曾经使用过的10个密码6）若用户密码由系统分配，用户首次登录系统或密码重置后第一次登录，密码必须被强制修改6）若用户密码由系统分配，用户首次登录系统或密码重置后第一次登录，密码必须被强制修改默认涉及，若需修改请联系安全组。若涉及则必须同意安全要求细节7）若用户密码由系统分配，初始密码必须随机生成，禁止初始密码明显包含用户个人信息或者账号相关属性同意8）若用户密码由系统分配，初始密码在发出5天内未做修改，账号建议被锁定8）若用户密码由系统分配，初始密码在发出5天内未做修改，账号建议被锁定9）在用户设置密码时，提示用户怎样选择密码强度足够的密码9）在用户设置密码时，提示用户怎样选择密码强度足够的密码10）密码修改时，必须认证旧密码10）密码修改时，必须认证旧密码图形验证码（建议使用滑块验证码）1）一次性且不少于4位字符1）一次性且不少于4位字符默认涉及，若需修改请联系安全组。若涉及则必须同意安全要求细节2）由字母和数字组成同意3）随机产生4）包括足够的噪音干扰信息5）有效时间布超过15分钟5）有效时间布超过15分钟默认涉及，若需修改请联系安全组。若涉及则必须同意安全要求细节6）验证码应该为第一个验证参数同意7）必须一次一用短信验证码1）发送给客户时，需要明确告知客户当前的操作，如“您正在进行XX操作，验证码为”1）发送给客户时，需要明确告知客户当前的操作，如“您正在进行XX操作，验证码为”2）验证码有效期不超过180秒2）验证码有效期不超过180秒3）复杂度最少为6位3）复杂度最少为6位默认涉及，若需修改请联系安全组。若涉及则必须同意安全要求细节4）验证码信息必须和其他信息同时校验同意5）验证码应该为第一个验证参数应用系统行为日志要求应用系统必须包含日志功能，产品团队请在说明中决定应用系统上是否体现日志功能1）认证数据（如密码）包括明文和密文，禁止在任何认证处理过程中记录（包括但不限于日志）同意2）若应用带有日志审计功能，禁止非授权用户使用日志审计。3）若应用带有日志审计功能，禁止有编辑或删除日志功能4）任何对日志的访问都应该要记录5）若应用系统存在日志模块，一定要保证非授权用户不能访问日志模块。应用系统行为日志范围应用系统必须包含日志功能，日志中需要记录的行为细节要求可增加，不可减少1）必须记录所有用户的系统登录信息（成功或失败）2）重要业务，如对数据库数据进行增、删、改都要被记录3）服务的告警、故障、启动和终止都要被记录4）系统或服务的启动和终止都要被记录5）系统发现的违规操作都要被记录6）所有特权操作（包括查看）都要被记录7）所有账号管理操作（如：账号的建立，更改，删除，账号的密码重置、锁定及激活，权限的修改）必须完整记录日志内容要求应用系统必须包含日志功能，日志中需要记录的信息细节要求可增加，不可减少1）用户ID2）日期、时间（至少精确到秒）3）终端身份和位置（IP或MAC）4）事件名称5）行为记录（事前及事后的数据转变）6）是否成功文件上传1）根据业务场景，确定文件上传格式，大小限制1）前端，后端都需要检查用户上传文件进行检查，检查内容应包括：文件格式，文件内容，文件大小（文件大小由产品经理定义）默认涉及，若需修改请联系安全组。若涉及则必须同意安全要求细节2）要确保文件上传时不会覆盖重要内容，将文件名改为随机数，直接弃用原来名，防止不规则文件名的安全问题同意3）文件上传到统一大目录，且目录及其子目录不可执行，做静态处理（开发与为运维沟通）2）可能会影响图片清晰度4）上传图片进行压缩3）是否有大文件上传（20M以上）5）若上传文件太大（如媒体文件）应采用异步上传方式。输入校验默认涉及，若需修改请联系安全组。若涉及则必须同意安全要求细节1）过滤接口所有输入（如：json中所有字段，url中参数），将危险字符全部删除，部分常见的危险字符包括但不限于：:<>'%"()&+/\同意2）后端与前端都需要进行过滤校验免责声明1）是否要中转页面1）网站中需要跳转到其他网站时，需要一个中转页面，并且带有明显免责声明。2）是否要《用户隐私协议》2）注册界面应当有《用户隐私协议》，内容包括告知用户收集和处理用户个人信息方式、内容和