【#文档大全网# 导语】以下是®文档大全网的小编为您整理的《WEB安全编程技术设计规范的具体要求》,欢迎阅读!
.........word文档...完美整理...范文范例
1. 范围
本规范从WEB应用开发安全管理要求出发,给出了WEB编码安全的具体要求。 本规范明确定义了JAVA应用开发中和WEB编码安全相关的技术细节。
与JAVA编码安全相关的内容包括:跨站脚本攻击及解决方法、SQL注入及解决方法、恶意文件执行及解决方法、不安全的直接对象引用及解决方法、跨站请求伪造及解决方法、信息泄露和错误处理不当及解决方法、残缺的认证和会话管理及解决方法、不安全的加密存储及解决方法、不安全的通信及解决方法、限制URL访问实效解决方法等。
2. 1.规范概述
Web应用程序为架构设计人员、开发人员、测试人员和运维运营人员提出一系列复杂的安全问题,最安全、最有能力抵御攻击的Web应用程序是那些应用安全思想构建的应用程序。
在设计初始阶段,应该使用可靠的体系结构和设计方法,同时要结合考虑程序部署以及企业的安全策略。如果不能做到这一点,将导致在现有基础结构上部署应用程序时,要不可避免地危及安全性。
本规范提供一系列安全的体系结构和设计指南,并按照常见的应用程序漏洞类别进行组织。这些指南是Web应用程序安全的重要方面,并且是经常发生错误的领域。
2.实现目标
使用本规范可以实现:
1. 确定安全Web应用程序的重要体系结构和设计问题。 2. 设计时考虑重要部署问题。
3. 制定能增强Web应用程序输入验证的策略。 4. 设计安全的身份验证和会话管理机制。 5. 选择适当的授权模型。
6. 实现有效的帐户管理方法,并保护用户会话。 7. 对隐私认可并防止篡改,和对身份验证信息进行加密。
......专业资料...仅供学习.参考.分享
.........word文档...完美整理...范文范例
8. 防止参数操作。 9. 安全漏洞checklist。 10. 设计审核和记录策略。
3.安全编码原则
1. 程序只实现你指定的功能。
2. 永不要信任用户输入,对用户输入数据做有效性检查。 3. 必须考虑意外情况并进行处理。 4. 不要试图在发现错误之后继续执行。 5. 尽可能使用安全函数进行编程。 6. 小心、认真、细致地编程。
4.安全背景知识
本规范主要提供设计应用程序时应该遵循的一些指南和原则。为充分理解本规范内容,请:
了解应用程序将会受到的威胁,以确保通过程序设计解决这些问题。了解需要考虑的威胁,在程序设计阶段应该考虑到这些威胁。
在应用程序易受攻击的重要环节应用系统的方法。将重点放在程序部署、输入验证、身份验证和授权、加密及数据敏感度、配置、会话、异常管理以及适当的审核和记录策略上,以确保应用程序具有健壮性。
5.JAVA安全编程——OWASP TOP10 AND ESAPI
5.1 OWASP TOP 10 与ESAPI
OWASP(开放Web应用安全项目-OpenWebApplicationSecurityProject)是一个开放社群、非营利性组织,目前全球有82个分会近万名会员,其主要目是研议协助解决Web软体安全之准则、工具与技术,长期致力于协助政府或企业并改善网页应用程式与网页服务的安全性。
......专业资料...仅供学习.参考.分享
本文来源:https://www.wddqxz.cn/58ebd12982eb6294dd88d0d233d4b14e84243ea2.html
2023-01-06
