web应用系统安全开发规范

1. 背景 4 2. 编码安全 4 2.1. 输入验证 4 2.1.1. 概述 5 2.1.2. 白名单 5 2.1.3. 黑名单 5 2.1.4. 规范化 5 2.1.5. 净化 5 2.1.6. 合法性校验 6 2.1.7. 防范SQL注入 6 2.1.8. 文件校验 6 2.1.9. 访问控制 6 2.2. 输出验证 6 2.2.1. 概述 6 2.2.2. 编码场景 6 2.2.3. 净化场景 7 2.3. SQL注入 7 2.3.1. 概述 7 2.3.2. 参数化处理 7 2.3.3. 最小化授权 7 2.3.4. 敏感数据加密 7 2.3.5. 禁止错误回显 8 2.4. XSS跨站 8 2.4.1. 输入校验 8 2.4.2. 输出编码 8 2.5. XML注入 8 2.5.1. 输入校验 8 2.5.2. 输出编码 8 2.6. CSRF跨站请求伪造 8 2.6.1. Token使用 9 2.6.2. 二次验证 9 2.6.3. Referer验证 9 3. 逻辑安全 9 3.1. 身份验证 9 3.1.1. 概述 9 3.1.2. 提交凭证 9 3.1.3. 错误提示 9 3.1.4. 异常处理 10 3.1.5. 二次验证 10 3.1.6. 多因子验证 10 3.2. 短信验证 10 3.2.1. 验证码生成 10 3.2.2. 验证码限制 10 3.2.3. 安全提示 11 3.2.4. 凭证校验 11 3.3. 图灵测试 11 3.3.1. 验证码生成 11 3.3.2. 验证码使用 11 3.3.3. 验证码校验 11 3.4. 密码管理 12 3.4.1. 密码设置 12 3.4.2. 密码存储 12 3.4.3. 密码修改 12 3.4.4. 密码找回 12 3.4.5. 密码使用 12 3.5. 会话安全 13 3.5.1. 防止会话劫持 13 3.5.2. 会话标识符安全 13 3.5.3. Cookie安全设置 13 3.5.4. 防止CSRF攻击 13 3.5.5. 会话有效期 14 3.5.6. 会话注销 14 3.6. 访问控制 14 3.6.1. 跨权访问 14 3.6.2. 控制方法 14 3.6.3. 控制管理 14 3.6.4. 接口管理 15 3.6.5. 权限变更 15 3.7. 文件上传安全 15 3.7.1. 身份校验 15 3.7.2. 合法性校验 15 3.7.3. 存储环境设置 15 3.7.4. 隐藏文件路径 16 3.7.5. 文件访问设置 16 3.8. 接口安全 16 3.8.1. 网络限制 16 3.8.2. 身份认证 16 3.8.3. 完整性校验 16 3.8.4. 合法性校验 16 3.8.5. 可用性要求 17 3.8.6. 异常处理 17 4. 数据安全 17 4.1. 敏感信息 17 4.1.1. 敏感信息传输 17 4.1.2. 客户端保存 17 4.1.3. 服务端保存 17 4.1.4. 敏感信息维护 18 4.1.5. 敏感信息展示 18 4.2. 日志规范 18 4.2.1. 记录原则 18 4.2.2. 事件类型 18 4.2.3. 事件要求 18 4.2.4. 日志保护 19 4.3. 异常处理 19 4.3.1. 容错机制 19 4.3.2. 自定义错误信息 19 4.3.3. 隐藏用户信息 19 4.3.4. 隐藏系统信息 19 4.3.5. 异常状态恢复 20 4.3.6. 通信安全 20

web 应用安全开发资料，很有价值的。

通用web安全开发规范简洁版

当前大部分漏洞和攻击都是通过应用层面开始着手的，进而一步步被黑客渗透拿到目标权限、目标数据等。本文旨在提醒和指导，web应用开发中涉及的安全问题，进而减少或避免开发中出现的安全问题，一旦业务出现重大安全问题，无论是对安全部门还是企业形象将受到重要影响。

本规范用于规范和统一医疗保障信息系统生命周期各阶段（包括：安全需求分析、系统安全设计、系统开发安全、系统安全测试和系统部署上线等阶段）需执行的安全控制及安全任务，明确系统开发的安全控制流程和要求，以加强信息系统的安全性，减少信息系统网络安全漏洞隐患，降低安全风险。 本规范包括信息系统安全需求调研规范、信息系统安全设计规范、信息系统编码开发安全规范、信息系统开发测试安全规范和基础软件安全配置规范。

在Internet大众化及Web技术飞速演变的今天，Web安全所面临的挑战日益严峻。黑客攻击技术越来越成熟和大众化，针对Web的攻击和破坏不断增长，Web安全风险达到了前所未有的高度。 许多程序员不知道如何开发安全的应用程序，开发出来的Web应用存在较多的安全漏洞，这些安全漏洞一旦被黑客利用将导致严重甚至是灾难性的后果。这并非危言耸听，类似的网上事故举不胜举，的Web产品也曾多次遭黑客攻击，甚至有黑客利用Web产品的漏洞敲诈运营商，造成极其恶劣的影响。 本规范就是提供一套完善的、系统化的、实用的Web安全开发方法供Web研发人员使用，以期达到提高Web安全的目的。本规范主要包括三大内容：Web设计安全、Web编程安全、Web配置安全，配套CBB，多管齐下，实现Web应用的整体安全性；本规范主要以JSP/Java编程语言为例。

医疗保障信息系统安全开发规范

本规范就是提供一套完善的、系统化的、实用的Web安全开发方法供Web研发人员使用，以期达到提高Web安全的目的。本规范主要包括三大内容：Web设计安全、Web编程安全、Web配置安全，配套CBB，多管齐下，实现Web应用的整体安全性；本规范主要以JSP/Java编程语言为例。

医保信息系统安全开发规范。本规范用于规范和统一医疗保障信息系统生命周期各阶段（包括：安全需求分析、系统安全设计、 系统开发安全、系统安全测试和系统部署上线等阶段）需执行的安全控制及安全任务，明确系统开发的 安全控制流程和要求，以加强信息系统的安全性，减少信息系统网络安全漏洞隐患，降低安全风险。 本规范包括信息系统安全需求调研规范、信息系统安全设计规范、信息系统编码开发安全规范、信 息系统开发测试安全规范和基础软件安全配置规范。