没有合适的资源?快使用搜索试试~ 我知道了~
首页信息系统安全要求:基于OWASP规范的活动文件保障
信息系统安全要求:基于OWASP规范的活动文件保障
需积分: 9 1 下载量 20 浏览量
更新于2024-09-07
收藏 25KB DOCX 举报
"系统上线安全性要求文档详细阐述了在v1.22的Activiti PDM模型中,如何确保Activity文件的安全性。文档以技术可实现性和信息系统安全建设的三大要素——保密性、完整性和可用性为核心,依据OWASP安全编码规范制定了一系列严格的要求。 首先,文档强调了输入验证的重要性,要求对所有数据源进行分类,区分可信和不可信,尤其是来自数据库、文件流等的输入,需经过严格的校验。这包括验证参数、URL、HTTP头信息,以及来自JavaScript、Flash等嵌入代码的postback信息,防止恶意代码注入。此外,还特别关注重定向输入的验证,防止攻击者绕过应用程序逻辑。 输入验证策略提倡采用“白名单”方法,限制危险字符,如<>%()'\"等,并针对特殊字符如空字节、换行符和路径替代字符进行单独验证,以及考虑UTF-8扩展字符集编码的潜在威胁。 输出编码部分,文档倡导对返回给客户端的数据进行语义编码,例如HTML实体编码,确保在跨应用程序边界时数据安全。同时,强调对SQL、XML、LDAP查询结果和操作系统命令输出进行净化,避免敏感信息泄露。 在身份验证与密码管理方面,文档规定除公开内容外的所有网页和资源需进行身份验证,推荐使用标准、经过测试的服务,并分离身份验证逻辑,确保失败验证的安全处理。管理和账户管理功能应具备与主身份验证机制相当的安全性,同时强调对凭证存储的强加密保护,防止数据泄露。 这份文档提供了全面的系统上线安全性策略,旨在通过技术手段有效防范常见漏洞,保护业务的正常运作和信息安全。"
资源详情
资源推荐
系统上线安全性要求
本要求是根据技术可实现性及信息系统安全建设的三要素(保密性, 完整
性,可用性)为基本出发点,并参考 OWASP 安全编码规范进行编写的。
系统安全的目标是要维护信息资源的保密性, 完整性,和可用性,以确保业务的
成功运作。该目标通过实施安全控制来实现。本要求重点介绍具体的技术控制,以缓
解常见漏洞的发生。
输入验证:
1. 识别所有的数据源,并将其分为可信的和不可信的。验证所有来自不可信数据源(比
如:数据库,文件流,等)的数据。
2. 在处理以前,验证所有来自客户端的数据,包括:所有参数、 URL、HTTP 头信息(比
如:cookie 名字和数据值)。确定包括了来自 JavaScript、Flash 或其他嵌入代码的 post
back 信息。
3. 核实来自重定向输入的数据(一个攻击者可能向重定向的目标直接提交恶意代码,从
而避开应用程序逻辑以及在重定向前执行的任何验证)。
4. 尽可能采用“白名单”形式,验证所有的输入。
5. 如果任何潜在的危险字符必须被作为输入,请确保您执行了额外的控制,比如:输出
编码、特定的安全 API、以及在应用程序中使用的原因。部分常见的危险字符包括但不
限于:< > " ' % ( ) & + \ \' \" 。
6. 如果您使用的标准验证规则无法验证下面的输入,那么它们需要被单独验证:
7. 验证空字节 (%00)、验证换行符 (%0d, %0a,, );验证路径替代字符“点-点-斜杠”(../
或 ..\)。如果支持 UTF-8 扩展字符集编码,验证替代字符: %c0%ae%c0%ae/ (使用规
范化 验证双编码或其他类型的编码攻击)。
输出编码:
1. 通过语义输出编码方式,对所有返回到客户端的来自于应用程序信任边界之外的数据
进行编码。HTML 实体编码是一个例子,但不是在所有的情况下都可用。
2. 针对 SQL、XML 和 LDAP 查询,语义净化所有不可信数据的输出。
3. 对于操作系统命令,净化所有不可信数据输出。
下载后可阅读完整内容,剩余4页未读,立即下载
平凡の帆
- 粉丝: 0
- 资源: 1
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
最新资源
- 李兴华Java基础教程:从入门到精通
- U盘与硬盘启动安装教程:从菜鸟到专家
- C++面试宝典:动态内存管理与继承解析
- C++ STL源码深度解析:专家级剖析与关键技术
- C/C++调用DOS命令实战指南
- 神经网络补偿的多传感器航迹融合技术
- GIS中的大地坐标系与椭球体解析
- 海思Hi3515 H.264编解码处理器用户手册
- Oracle基础练习题与解答
- 谷歌地球3D建筑筛选新流程详解
- CFO与CIO携手:数据管理与企业增值的战略
- Eclipse IDE基础教程:从入门到精通
- Shell脚本专家宝典:全面学习与资源指南
- Tomcat安装指南:附带JDK配置步骤
- NA3003A电子水准仪数据格式解析与转换研究
- 自动化专业英语词汇精华:必备术语集锦
资源上传下载、课程学习等过程中有任何疑问或建议,欢迎提出宝贵意见哦~我们会及时处理!
点击此处反馈
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功