WEB应用系统安全规范

没那么简单歌词

漏洞类别	由于设计不当而引起的潜在问题
输入验证	嵌入到查询字符串、表单字段、cookie 和 HTTP 头中的恶意字符串的攻击。这些攻击包括命令执行、跨站点脚本(XSS)、SQL 注入和缓冲区溢出攻击。
身份验证	标识欺骗、密码破解、特权提升和未经授权的访问。
授权	访问保密数据或受限数据、篡改数据以及执行未经授权的操作。
配置管理	对管理界面进行未经授权的访问、具有更新配置数据的能力以及对用户帐户和帐户配置文件进行未经授权的访问。
敏感数据	泄露保密信息以及篡改数据。
会话管理	捕捉会话标识符，从而导致会话劫持及标识欺骗。
加密	访问保密数据或帐户凭据，或二者均能访问。
参数操作	路径遍历攻击、命令执行以及绕过访问控制机制，从而导致信息泄漏、特权提升和拒绝服务。
异常管理	拒绝服务和敏感的系统级详细信息的泄漏。
审核和记录	不能发现入侵迹象、不能验证用户操作，以及在诊断问题时出现困难。

服装行业现状家纺品牌关岛是哪个国家的张天爱老公许文志

类别	规范指南
输入验证	不要信任输入；应考虑集中式输入验证。 不要依赖于客户端验证。注意标准化问题。限制、拒绝和净化输入。验证类型、长度、格式和范围。
身份验证	将站点分割为匿名区域、标识区域和通过身份验证的区域。使用强密码。支持密码有效期和帐户禁用。不要存储凭据（应使用带有 salt 的单向哈希）。加密通信通道，以保护身份验证令牌。仅通过 HTTPS 连接传递表单身份验证 cookie。
授权	使用最少特权帐户。考虑授权粒度。实施分别授权。限制用户访问系统级资源。
配置管理	使用最少特权进程和服务帐户。不要以纯文本形式存储凭据。在管理界面上使用强身份验证和授权。不要使用 LSA。远程管理时要确保通信通道的安全。避免在 Web 空间中存储敏感数据。
敏感数据	避免存储机密。对网络上传输的敏感数据进行加密。确保通信通道的安全。对敏感数据存储提供强访问控制。不要在永久性 cookie 中存储敏感数据。不要使用 HTTP-GET 协议传递敏感数据。
会话管理孙红雷个人资料简介	限制会话寿命。确保通道的安全。对身份验证 cookie 的内容进行加密。保护会话状态，以防止未经授权的访问。
加密	不要自创加密算法。使用可靠并经过测试的平台功能。将未加密的数据存储在算法附近。使用正确的算法和密钥大小。避免密钥管理（使用 DPAPI）。定期回收密钥。在受限区域存储密钥。
参数操作	对敏感的 cookie 状态加密。不要信任客户端可以操作的字段（如查询字符串、表单字段、cookie 或 HTTP 头）。验证从客户端发送的所有数据。
异常管理	使用结构化的异常处理机制。不要泄漏敏感的应用程序实施细节。不要记录保密数据，如密码。考虑使用集中式的异常管理框架。
审核和记录	识别怀有恶意的行为。了解好的数据流应该是什么样子。在所有应用层中审核和记录活动。确保日志文件访问的安全。定期备份和分析日志文件。