DKBA华为技术内部技术规范DKBA1606-XXXX.XWeb应用平安开发规范V1.5HUAW€I2013年XX月XX日发布2013年XX月XX日实施华为技术HuaweiTechnologiesCo,,Ltd.版权所有侵权必究Allrightsreserved编号：日寸间：2021年X月X日书山有路勤为径，学海无涯苦作舟页码：第1。页＜实施指导：对此规那么或建议的实施进行相应的指导2常见Web平安漏洞Web应用的平安漏洞有很多，无法穷举。针对众多的Web漏洞，0WASP的专家们结合各自在各领域的应用平安工作经验及智慧，提出了十大Web应用程序平安漏洞，帮助人们关注最严重的漏洞。（0WASP即开放Web应用平安工程，是一个旨在帮助人们理解和提高Web应用及服务平安性的工程组织。）表2十大Web应用程序平安漏洞列表序号漏洞名称漏洞描述1注入注入攻击漏洞，例如SQL、OS命令以及LDAP注入。这些攻击发生在当不可信的数据作为命令或者查询语句的一局部，被发送给解和器的时候。攻击者发送的恶意数据可以欺骗解释器，以执行计划外的命令或者访问未被授权的数据。2跨站脚本当应用程序收到含有不可信的数据，在没有进行适当的验证和转义的情况下，就将它发送给一个网页浏览器，这就会产生跨站脚本攻击（简称XSS）。XSS允许攻击者在受害者的浏览器上执行脚本，从而劫持用户会话、危害网站、或者将用户转向至恶意网站。3失效的身份认证和会话管理与身份认证和会话管理相关的应用程序功能往往得不到正确的实现，这就导致/攻击者破坏密码、密匙、会话令牌或攻击其他的漏洞去冒充其他用户的身份。4不平安的直接对象引用当开发人员暴露一个对内部实现对象的引用时，例如，一个文件、目录或者数据库密匙，就会产生一个不平安的直接对象引用。在没有访问控制检测或其他保护时，攻击者会操控这些引用去访问未授权数据。5跨站请求伪造一个跨站请求伪造攻击迫使登录用户的浏览器将伪造的请求，包括该用户的会话cookie和其他认证信息，发送到一个存在漏洞的Web应用程序。这就允许了攻击者迫使用户浏览器向存在漏洞的应用程序发送请求，而这些请求会被应用程序认为是用户的合法请求。6平安配置错误好的平安需要对应用程序、框架、应用程序服务器、Web版务器、数据库服编号：时间：2021年x月x日书山有路勤为径，学海无涯苦作舟页码：务器和平台，定义和执行平安配置。由于许多设置的默认位并不是平安的，因此，必须定义、实施和维护所有这些设置。这包括了对所有的软件保护及时地更新，包括所有应用程序的库文件。7失败的URL访问权限限制许多Web应用程序在显示受保护的链接和按钮之前会检测URL访问权限。但是，当这些页面被访问时，应用程序也需要执行类似的访问控制检测，否那么攻击者将可以伪装这些URL去访问隐藏的网页。8未经验证的重定向和前转Web应用程序经常将用户重定向和前转到其他网页和网站，并且利用不可信的数据去判定目的页面。如果没有得到适当验证，攻击者可以将受害用户重定向到钓鱼网站或恶意网站，或者使用前转去访问未经授权的网页。9不平安的加密存储许多Web应用程序并没有使用恰当的加密措施或Hash算法保护敏感数据，比方信用广、社会平安号码（SSN）、认证凭据等。攻击者可能利用这种弱保护数据实行身份盗窃、信用卡欺骗或或其他犯罪。10传输层保护缺乏应用程序时常没有身份认证、加密措施，甚至没有保护敏感网络数据的保密性和完整性。而当进行保护时，应用程序有时采用弱算法、使用过期或无效的证书，或不正确地使用这些技术。3Web设计平安规范Web部署要求规那么：如果Web应用对Internet开放,Web服务器应当置于DMZ区，在Web服务器与Internet之间，Web服务器与内网之间应当有防火墙隔离，并设置合理的策略。规那么3.12如果Web应用对Internet开放，Web服务器应该部署在其专用的服务器上，应防止将数据库服务器或其他核心应用与Web服务器部署在同一台主机上。说明：Web服务器比拟容易被攻击，如果数据库或核心应用与Web服务器部署在同一台主机，一旦Web服务器被攻陷，那么数据库和核心应用也就被攻击者掌控了。规那么：Web站点的根目录必须安装在非系统卷中。说明：Web站点根目录安装在非系统卷，如单独创立一个目录/home/Web作为Web站点根目录，能够防止攻击者使用目录遍历攻击访问系统工具和可执行文件。建议：Web服务器与应用服务器需物理别离（即安装在不同的主机上），以提高应用编号：日寸间：2021年X月X日书山有路勤为径，学海无涯苦作舟页码：的平安性。建议：如果Web应用系统存在不同的访问等级（如个人帐号使用、客户服务、管理），那么应该通过不同的Web服务器来处理来自不同访问等级的请求，而且Web应用应该鉴别请求是否来自正确的Web