Web应用安全配置基线1=中国移动通信有限公司管理信息系统部2009年3月版本版本控制信息更新日期更新人审批人V1.0创建2009年1月备注：1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。目录第1章概述51.1 目的51.2 适用范围51.3 适用版本51.4 实施51.5 例外条款5第2章身份与访问控制62.1 账户锁定策略62.2 登录用图片验证码62.3 口令传输62.4 保存登录功能72.5 纵向访问控制72.6 横向访问控制72.7 敏感资源的访问8第3章会话管理93.1 会话超时93.2 会话终止93.3 会话标识93.4 会话标识复用10第4章代码质量114.1 防范跨站脚本攻击114.2 防范SQL注入攻击114.3 防止路径遍历攻击114.4 防止命令注入攻击124.5 防止代码注入攻击错误!未定义书签。4.6 防止其他常见的注入攻击124.7 防止下载敏感资源文件134.8 防止用户上传后门脚本134.9 保证多线程安全134.10 保证释放资源14第5章内容管理155.1 加密存储敏感信息155.2 避免敏感文件下载错误!未定义书签。5.3 避免泄露敏感技术细节15第6章防钓鱼与防垃圾邮件166.1 防钓鱼166.2 防垃圾邮件16第7章密码算法177.1 安全算法177.2 密钥管理17第8章系统日志错误!未定义书签。8.1 日志内容错误!未定义书签。8.2 日志保护错误!未定义书签。第9章安装配置错误!未定义书签。9.1 组件漏洞错误!未定义书签。9.2 组件缺省账号密码错误!未定义书签。9.3 组件操作系统账号错误!未定义书签。9.4 组件安全加固错误!未定义书签。9.5 语言设置错误!未定义书签。9.6 DMZ安全隔离错误!未定义书签。9.7 数据库服务器安全隔离错误!未定义书签。9.8 WAF使用错误!未定义书签。9.9 文件完整性监控错误!未定义书签。9.10 防病毒软件错误!未定义书签。第10章安全维护错误!未定义书签。10.1物理安全错误!未定义书签。第11章评审与修订18第1章概述1.1目的本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的Web应用服务器 应当遵循的安全标准，本文档旨在指导系统管理人员进行Web应用安全基线检查。1.2适用范本配置标准的使用者包括：服务器系统管理员、应用程序管理员、网络安全管理员。本配置标准适用的范围包括：中国移动总部和各省公司信息化部门所维护管理的Web 应用系统。1.3适用版本基于B/S架构的Web应用1.4实施本标准的解释权和修改权属于中国移动通信有限公司管理信息系统部。在本标准的执行过程中若有任何疑问或建议，应及时反馈。本标准发布之日起生效。1.5例外条款欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送交 中国移动通信有限公司管理信息系统部进行审批备案。第2章身份与访问控制2.1账户锁定策略安全基线项 目名称Web应用账户锁定策略安全基线要求项安全基线编 号SBL-WebAPP-02-01-01安全基线项 说明用户登录失败一定次数后系统自动锁定账号一段时间，以防止暴力猜测密码。检测操作步 骤尝试使用错误用户名口令失败登录多次，基线符合性 判定依据用户登录失败一定次数后系统自动锁定账号。备注2.2登录用图片验证码安全基线项 目名称Web应用登录验证策略安全基线要求项安全基线编 号SBL-WebAPP-02-02-01安全基线项 说明用户登录需提供图片验证码，以防止固定密码暴力猜测账号。检测操作步 骤检查登录认证界面输入项，并右键点击图片查看链接属性。基线符合性 判定依据要求包含图片验证码输入项，并且图片链接属性不得包含明文图片验证码。备注2.3 口令传输安全基线项 目名称Web应用口令传输策略安全基线要求项安全基线编 号SBL-WebAPP-02-03-01安全基线项 说明不能明文传输用户登录密码。检测操作步 骤尝试登录系统，并使用抓包工具查看交互过程中在网络传输的内容。基线符合性 判定依据要求不得出现明文口令备注2.4保存登录功能安全基线项 目名称Web应用保存登录安全基线要求项安全基线编 号SBL-WebAPP-02-04-01安全基线项 说明不能提供“保存登录”功能，该功能可能被利用于CSRF攻击。检测操作步 骤检查登录界面是否提供了保存登录功能基线符合性 判定依据不得提供该功能。备注2.5纵向访问控制安全基线项 目名称Web应用纵向访问安全基线要求项安全基线编 号SBL-WebAPP-02-05-01安全基线项 说明合理进行纵向访问控制，不允许普通用户访问管理功能。检测操作步 骤了解是否有不允许普通用户访问的功能，尝试直接在浏览器中访问功能链接。基线符合性 判定依据用户不得跨权限访问受控页面备注2.6横向访问控制安全基线项目名称Web应用横向访问安全基线要求项安全基线编 号SBL-WebAPP-02-06-01安全基线项 说明合理进行横向访问控制，不允许用户访问其他用户的敏感数据。检测操作步 骤了解是否存在敏感信息，检查是否对个人敏感信息进行了有效保护基线符合性 判定依据用户不得跨权限查看其它用户受保护敏感信息备注2.7敏感资源的访问安全基线项 目名称Web应用敏感资源访问安全基线要求项安全基线编 号SBL-WebAPP-02-07-01安全基线项 说明需要限制对敏感资源的访问，例如后台管理，日志记录等。检测操作步 骤检查服务器的文件是否存在敏感资源，测试是否限制了这些资源的访问。基线符合性 判定依据对敏感资源的访问应当受控。备注第3章会话管理3.1会话超时安全基线项 目名称Web应用会话超时安全基线要求项安全基线编 号SBL-WebAPP-03-01-01安全基线项 说明当用户长时间不操作时，系统自动终止超时会话。检测操作步 骤登录系统后不操作，等待合理的时间间隔。基线符合性 判定依据要求预先设计的时间间隔后查看页面自动中止超时会话。备注3.2会话终止安全基线项 目名称Web应用会话终止安全基线要求项安全基线编 号SBL-WebAPP-03-02-01安全基线项 说明系统需提供“退出”功能，允许用户强制终止当前的会话。检测操作步 骤登录系统后点击系统提供的“退出”功能，然后在同一 IE窗口下视图回退到 登录后的页面，并访问相应的功能基线符合性 判定依据点击退出后，上述检测操作结果不成功备注3.3会话标识安全基线项 目名称Web应用会话标识安全基线要求项安全基线编 号SBL-WebAPP-03-03-01安全基线项会话标识必须足够随机，防止攻击者猜测标识或依据当前标识推导后续的标说明识。检测操作步 骤检查多个会话标识的格式。基线符合性 判定依据多个会话标识不得存在简单明了的逻辑关系，要求具有随机性备注3.4会话标识复用安全基线项 目名称Web应用会话标识复用安全基线要求项安全基线编 号SBL-WebAPP-03-04-01安全基线项 说明用户登录后必须分配新的会话标识，不能继续使用用户未登录前所使用的标 识。检测操作步 骤检查登录前后是否使用相同的会话标识。基线符合性 判定依据用户登录后必须分配新的会话标识，不能继续使用用户未登录前所使用的标 识。备注第4章代码质量4.1防范跨站脚本攻击安全基线项 目名称Web应用防范跨站脚本安全基线要求项安全基线编 号SBL-WebAPP-04-01-01安全基线项 说明系统要防止将用户输入未经检查就直接输出到用户浏览器，防范跨站脚本攻击。CSRF检测操作步 骤检查系统是否存在跨站脚本攻击漏洞。例如在能够回显的输入框输入alert(xss”)基线符合性 判定依据要求系统能够将输入内容中的控制字当作纯文本内容处理备注4.2防范SQL注入攻击安全基线项 目名称Web应用防范SQL注入安全基线要求项安全基线编 号SBL-WebAPP-04-02-01安全基线项 说明系统要防止将用户输入未经检查就用于构造数据库查询，防范SQL注入攻 击。检测操作步 骤检查系统是否存在SQL注入漏洞。例如在输入框中输入基线符合性 判定依据系统要使用诸如prepared statement等方式防止SQL注入，将输入内容中的控 制字也当作纯文本处理备注4.3防止路径遍历攻击安全基线项 目名称Web应用防范路径遍历安全基线要求项安全基线编SBL-WebAPP-04-03-01号安全基线项 说明系统要防止将用户输入未经检查就用于构造文件路径，防止路径遍历攻击。检测操作步 骤尝试在URL与输入中构造文件路径并查看页面反应基线符合性 判定依据不允许通过构造文件路径的方式直接查看文件备注4.4防止命令注入攻击安全基线项 目名称Web应用防范命令注入安全基线要求项安全基线编 号SBL-WebAPP-04-04-01安全基线项 说明系统要防止将用户输入未经检查就用于构造操作系统命令并执行。检测操作步 骤尝试在各个输入点进行命令注入攻击基线符合性 判定依据命令注入攻击不得成功备注4.5防止其他常见的注入攻击安全基线项 目名称Web应用防范其它注入安全基线要求项安全基线编 号SBL-WebAPP-04-05-01安全基线项 说明防止系统存在LDAP注入、XML注入、XPATH注入、SMTP注入等漏洞。检测操作步 骤尝试在各个输入点进行其它常见注入攻击基线符合性 判定依据各类注入攻击不得成功备注4.6防止下载敏感资源文件安全基线项 目名称Web应用防范下载漏洞安全基线要求项安全基线编 号SBL-WebAPP-04-06-01安全基线项 说明如果系统提供了下载功能，要防止用户通过路径遍历漏洞下载敏感资源文件。检测操作步 骤如果系统提供了下载功能，试图通过路径遍历漏洞下载敏感资源文件。基线符合性 判定依据各类下载攻击不得成功备注4.7防止上传后门脚本安全基线项 目名称Web应用