《网站WEB应用安全措施要求规范》由会员分享,可在线阅读,更多相关《网站WEB应用安全措施要求规范(2页珍藏版)》请在金锄头文库上搜索。
1、网站WEB应用安全措施要求规范1. 安全防范措施要求(1) 数据保密性:数据加密主要是防止非授权用户截获并使用该数据 ,网站中有保密要求的信息只能供经过授权允许的人员,并且以经过允许的方式使用 。(2) 数据完整性:使用一种方案来确认同站上的数据在传输过程中没有被篡改,而造成信息完整性破坏的原因可以分为人为的和非人为的两种:非人为的因素:如通信传输中的干扰噪声,系统硬件或软件的故障等;人为因素:包括有意的和无意的两种,前者如黑客对计算机的入 侵 、合法用户越权对网站内数据的处理,后者如操作失误或使用不当 。(3) 数据安全性:数据的安全性就是保证数据库不被故意破坏和非法存取:数据的完整性是防止
2、数据库中存在不符合语义的数据,以及防止由于错误信息的输入、输出而造成无效操作和错误结果:并发控制即数据库是一个共享资源 ,在多个用户程序并行地存取数据库时 ,就可能会产生多个用户程序通过网站并发地存取同一数据的情况 ,若不进行并发控制就会使取出和存入的数据不正确,破坏数据库的一致性。(4) 恶意代码防范:通过代码层屏蔽常见恶意攻击行为,防止非法数据提交;如:SQL注入;(5) 双因子授权认证:应对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别。(6) 密码复杂度:强制用户首次登录时修改初始口令;口令长度至少为8位,并由数字、大小字母与特殊字符组成。(7) 会话过期与超时:浏览器Coo
3、kie过期、无动作过期、强制过期、保持会话等进行限制;(8) 安全审计功能:a)审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计,如:登录、退出、添加、删除、修改或覆盖等;b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;2. 安全风险检测要求安全风险内容风险描述检测结果跨站脚本(XSS)恶意攻击者往WEB页面里插入恶意的html代码,当用户浏览该页面时,嵌入其中的html代码会被执行,从而达到恶意用户的特殊目的;(钓鱼、盗取cookie、操纵受害者的浏览器、蠕虫攻击)SQL注入漏洞用户输入的数据未经验证就用来构造SQL查询语句,查询数据库中的敏
4、感内容,绕过认证添加、删除、修改数据、拒绝服务。XML注入如果在查询或修改时,如果没有做转义,直接输入或输出数据,都将导致XML注入漏洞。攻击者可以修改XML数据格式,增加新的XML节点,对数据处理流程产生影响。跨站请求伪造(CSRF)强迫受害者的浏览器向一个易受攻击的Web应用程序发送请求,最后达到攻击者所需要的操作行为。恶意请求会带上浏览器的Cookie。受攻击的Web应用信任浏览器的Cookie。任意文件下载下载服务器任意文件,如脚本代码,服务及系统配置文件等;可用得到的代码进一步代码审计,得到更多可利用漏洞文件上传Web应用程序在处理用户上传的文件时,没有判断文件的扩展名是否在允许的范围内,或者没检测文件内容的合法性,就把文件保存在服务器上,甚至上传脚本木马到web服务器上,直接控制web服务器。(未限制扩展名、未检查文件内容、病毒文件)远程命令执行可远程执行代码,直接使用管理员权限执行恶意命令;敏感信息泄漏泄漏敏感信息权限控制一个正常的用户A通常只能够对自己的一些信息进行增删改查,但是由于程序员的一时疏忽,对信息进行增删改查的时候没有进行一个判断,判断所需要操作的信息是否属于对应的用户,可以导致用户A可以操作其他人的信息。已解密的登录请求可能会窃取诸如用户名和密码等未经加密即发送了的用户登录信息未设置验证码机制恶意攻击者可以使用暴力破解的手段猜解帐号和密码
