第 6 章 防钓鱼与防垃圾邮件 ...........................................................................................................14 6.1 防钓鱼 ................................................................................................................................... 14
第 4 章 代码质量 .................................................................................................................................9 4.1 防范跨站脚本攻击 ................................................................................................................. 9 4.2 防范 SQL 注入攻击................................................................................................................9 4.3 防止路径遍历攻击 ................................................................................................................. 9 4.4 防止命令注入攻击 ............................................................................................................... 10 4.5 防止其他常见的注入攻击 ................................................................................................... 10 4.6 防止下载敏感资源文件 ....................................................................................................... 11 4.7 防止上传后门脚本 ............................................................................................................... 11 4.8 保证多线程安全 ................................................................................................................... 11 4.9 保证释放资源 ....................................................................................................................... 12
Web 应用安全配置基线
目录
第 1 章 概述 .........................................................................................................................................3 1.1 目的 ......................................................................................................................................... 3 1.2 适用范围 ................................................................................................................................. 3 1.3 适用版本 ................................................................................................................................. 3
第 5 章 内容管理 ...............................................................................................................................13 5.1 加密存储敏感信息 ............................................................................................................... 13 5.2 避免泄露敏感技术细节 ....................................................................................................... 13
7.1 安全算法 ............................................................................................................................... 15 7.2 密钥管理 ..............................................................................................................................的
本文档规定了 Web 应用服务器应当遵循的安全标准，本文档旨在指导系统管理人员进 行 Web 应用安全基线检查。
1.2 适用范围
本配置标准的使用者包括：服务器系统管理员、应用程序管理员、网络安全管理员。
第 1 页 共 15 页
6.2 防垃圾邮件 ........................................................................................................................... 14 第 7 章 密码算法 ...............................................................................................................................15
第 2 章 身份与访问控制 .....................................................................................................................4 2.1 账户锁定策略 ......................................................................................................................... 4 2.2 登录用图片验证码 ................................................................................................................. 4 2.3 口令传输 ................................................................................................................................. 4 2.4 保存登录功能 ......................................................................................................................... 5 2.5 纵向访问控制 ......................................................................................................................... 5 2.6 横向访问控制 ......................................................................................................................... 5 2.7 敏感资源的访问 ..................................................................................................................... 6
第 3 章 会话管理 .................................................................................................................................7 3.1 会话超时 ................................................................................................................................. 7 3.2 会话终止 ................................................................................................................................. 7 3.3 会话标识 ................................................................................................................................. 7 3.4 会话标识复用 ......................................................................................................................... 8