安全编码规范检查项
2024-07-24 16:55:48 0 举报AI智能生成
本项与技术无关的文档以清单列表的形式,定义了一套可以集成到软件开发生命周期中的通 用软件安全编码规范。采用这些规范将减少最为常见的软件漏洞。
作者其他创作
大纲/内容
内部数据源
可信数据源
不可信数据源
外部数据源
识别所有的数据源
根据数据源的性质和安全性分类
根据历史安全记录和风险评估分类
将数据源分为可信和不可信
数据库数据验证
文件流数据验证
其他外部输入验证
为不可信数据源制定验证策略
识别并分类数据源
字符集要求
数据格式要求
定义通用的输入验证规则
使用验证框架或库
编写自定义验证函数
实现集中的验证逻辑
前端输入验证
后端输入验证
确保所有输入都经过验证
提供集中的输入验证规则
使用UTF-8字符集
确保字符集一致性
为应用程序设定字符集
在输入验证前进行编码转换
确保字符集解码正确
处理字符集转换
明确字符集要求
使用白名单策略
去除潜在危险字符
识别并去除非法字符
统一大小写
去除多余空格
规范化数据格式
在输入验证前规范化数据
设置错误标志
记录无效数据
在验证过程中标记无效数据
跳过无效数据的处理
返回错误提示给用户
在后续处理中忽略无效数据
丢弃未通过验证的数据
检查系统配置
测试UTF-8字符集处理
检查系统对UTF-8的支持
确保解码正确
对解码后的数据进行验证
在UTF-8解码后进行验证
支持UTF-8扩展字符集
验证URL参数
验证表单参数
验证所有参数
验证URL路径和查询字符串
验证HTTP头字段
验证URL和HTTP头信息
验证post back信息
验证嵌入代码的输出
验证JavaScript、Flash等嵌入代码
验证来自客户端的数据
检查请求报头
检查响应报头
确保只包含ASCII字符
转换或丢弃非ASCII字符
记录并报告异常
处理非ASCII字符
验证请求和响应报头信息
检查重定向URL
验证重定向参数
验证重定向目标
确保重定向前数据已验证
在重定向后重新验证数据
在重定向前执行验证
核实重定向输入数据
字符串类型验证
数字类型验证
根据预期类型验证数据
自动类型转换
显式类型转换
处理类型转换
验证数据类型
根据业务需求定义范围
考虑数据的安全范围
定义数据范围
使用比较运算符
使用范围函数或库
检查数据是否在范围内
验证数据范围
根据业务需求定义长度
考虑性能和安全性
定义数据长度限制
使用字符串长度函数
使用正则表达式匹配
检查数据长度是否合规
验证数据长度
明确允许的字符或模式
排除不允许的字符或模式
定义白名单规则
使用白名单库或框架
编写自定义白名单验证逻辑
实现白名单验证
采用白名单验证输入
在输出时进行编码或转义
验证空字节和换行符
检查../或..\\等替代字符
使用规范化路径验证
验证路径替代字符
检查%c0%ae%c0%ae/等编码
使用UTF-8解码和验证
验证UTF-8扩展字符集编码
处理潜在危险字符
输入验证
使用经过验证的硬件和软件
实施严格的安全策略和访问控制
确保系统安全性与稳定性
定义可信系统的标准
检查已知的安全漏洞
评估库的更新和维护频率
评估现有编码库的安全性
与现有系统架构的集成
支持多种编程语言和框架
确定编码库的兼容性
选择适当的编码库和工具
验证数据类型和格式
检查数据是否包含潜在威胁
定义编码前的数据验证步骤
验证编码的准确性和完整性
检查编码是否遵循预期规则
制定编码后的数据验证策略
为编码任务制定详细的流程
在可信系统上执行所有的编码
转换\"\"为\"<\"
转换\"\"为\">\"
转换特殊字符为HTML实体
转换空格为\"%20\"
转换特殊字符为百分比编码
定义URL编码规则
定义HTML实体编码规则
使用反斜杠进行转义
避免在字符串中插入不安全的代码
转义JavaScript中的特殊字符
定义JavaScript编码规则
定义编码的字符集
指定编码后的数据长度
明确编码的输入和输出格式
定义其他编码规则(如Base64、Hex等)
为每一种输出编码方法采用标准规则
内部:受信任的数据源
外部:不受信任的数据源
定义应用程序的内外部分
识别应用程序的信任边界
使用HTML实体编码防止XSS攻击
使用URL编码处理URL参数
对来自外部的数据进行编码
实施语义输出编码策略
比较原始数据和编码后的数据
检查编码是否准确
遵循W3C等组织的编码规范
确保编码符合标准
验证编码后的数据
对所有返回客户端的数据进行语义输出编码
查找公开的漏洞报告
评估漏洞的严重程度
检查编译器的安全漏洞记录
测试编译器对特殊字符的编码能力
验证编译器对特殊字符的处理
评估目标编译器的安全性
包括用户输入、文件内容等
对所有输入数据进行编码
避免在编码过程中引入新的安全风险
确保编码过程的安全性
实施全面的字符编码策略
除非对目标编译器安全,否则对所有字符进行编码
避免SQL注入攻击
使用参数化查询或预编译语句
确保输入数据符合预期
验证输入数据的类型和格式
针对SQL查询的净化策略
避免XML注入攻击
使用XML解析库进行验证
确保XML数据符合预期的格式和结构
实施XML Schema验证
针对XML查询的净化策略
避免LDAP注入攻击
使用LDAP查询的过滤功能
确保查询的准确性和安全性
验证LDAP查询的语法和语义
针对LDAP查询的净化策略
语义净化不可信数据的输出
避免shell注入攻击
使用安全的API或函数来执行命令
避免在命令中直接插入用户输入
使用白名单策略来限制输入
只允许已知安全的命令和参数
确保输入数据符合预期和安全性要求
验证和过滤用户输入
针对操作系统命令的净化策略
输出编码
明确哪些内容应当公开
设置身份验证机制以限制非公开内容的访问
设置公开内容与非公开内容的区分
选择可信的服务器进行身份验证
确保服务器安全配置
在可信系统上执行身份验证过程
研究并选择成熟的身份验证服务
对所选服务进行安全测试和评估
使用标准且已测试的身份验证服务
使用库文件请求外部身份验证服务
统一身份验证逻辑的实现
集中实现身份验证控制
对所有网页和资源实施身份验证
避免过于明确的错误提示
保持错误提示在显示和源代码中的一致性
提供适当的错误提示信息
使用与主要身份验证机制相同的安全级别
定期审计账户管理功能
确保管理和账户管理的安全性
安全处理未成功的身份验证
研究并选择安全的哈希算法
确保应用程序对密码和密钥的写权限
使用强加密单向salted哈希算法保存密码
不在客户端进行密码哈希
确保服务器安全执行哈希过程
在可信系统上执行密码哈希
保护凭证的存储
使用合适的验证方法
确保验证逻辑的正确性
对所有输入数据进行验证
在数据输入后进行身份验证验证
设计用户友好的提示信息
确保源代码和显示中的一致性
使用模糊的错误提示
避免过于明确的身份验证失败提示
选择适当的身份验证机制
确保连接的安全性
对涉及敏感信息的连接实施身份验证
对外部系统连接使用身份验证
选择安全的加密算法
确保凭据信息的保密性
加密存储身份验证凭据
避免使用不安全的HTTP方法
确保传输过程中的安全性
使用HTTP Post请求传输凭据
加密并保护身份验证凭据信息
使用HTTPS等加密协议
在加密连接中发送非临时密码
制定密码复杂度规则
定期审计并更新密码策略
通过政策加强密码复杂度要求
非临时密码的安全传输
定义复杂度要求
通过用户教育和培训强化密码安全意识
要求使用字母、数字和/或特殊符号
身份验证凭据信息的复杂性
8个字符长度
16个字符长度
多单词密码短语
常用密码长度
在Web表单中使用“password”输入类型
模糊显示密码
锁定账户
足够长以阻止暴力攻击
不长到允许拒绝服务攻击
账户锁定时间
连续登录失败处理
加强密码长度要求
类似账户创建和身份验证的控制等级
支持随机提问
避免常见问题和答案
密码重设问题
只发送到预先注册的邮件地址
短暂的有效期
再次使用时强制修改
临时链接或密码
基于邮件的重设
密码更改通知
密码在被更改前至少使用一天
阻止密码重复使用
根据政策或规则要求
关键系统更频繁更改
更改时间周期明确
强制定期更改密码
密码重设和更改操作
禁用“记住密码”功能
成功或失败
上一次使用信息
用户账号使用信息报告
绕开标准锁死功能
监控多用户帐户攻击
更改所有厂商提供的默认设置
禁用相关帐号
更改默认用户ID和密码
关键操作前的再次身份验证
高度敏感或重要交易账户
多因子身份验证机制
确保不受恶意代码影响
检查第三方身份验证代码
身份验证和密码管理
实施会话标识符验证机制
记录并监控无效的会话标识符尝试
确保会话标识符的唯一性和有效性
应用程序应识别有效会话标识符
使用加密安全的伪随机数生成器
避免使用不安全的随机数源
选择安全的随机数生成算法
使用通过审查的算法生成会话标识符
避免在客户端生成会话标识符
确保服务器环境的安全性
在服务器端生成会话标识符
在可信系统上创建会话标识符
使用服务器或框架的会话管理
仅允许必要的域名访问cookie
限制cookie的域范围
仅允许必要的路径访问cookie
限制cookie的路径范围
为站点设置恰当的cookie限制
设置会话标识符的域和路径
从数据库或内存中移除会话记录
立即销毁服务器端的会话数据
清除客户端的cookie或令牌
确保客户端的会话失效
完全终止相关会话或连接
实现注销功能
通常不超过几个小时
设置较短的超时时间以减少风险
在会话超时后提示用户重新登录
提供用户重新登录的机制
基于风险和业务需求设定超时时间
设置会话超时时间
在达到阈值后锁定账户或IP
设置登录尝试的阈值和锁定机制
限制连续登录尝试
即使是活动的会话也应设置过期时间
设置会话的自动过期时间
执行周期性会话终止
发送电子邮件或应用程序内通知
在会话终止前通知用户
提供用户通知以减少负面影响
禁止连续登录和周期性会话终止
在成功登录后清除旧的会话数据
在登录前关闭已存在的会话
生成新的会话标识符和会话数据
在登录后创建新的会话
在登录前后管理会话
在检测到并发登录时终止旧会话
只允许一个活动会话
限制同一用户ID的登录次数
禁止并发登录
避免使用GET请求传递会话标识符
使用HTTPS来加密传输
不在URL中暴露会话标识符
移除或模糊化会话标识符信息
实施安全的错误处理和日志记录
不在错误信息或日志中暴露会话标识符
保护会话标识符的暴露
限制对会话数据的访问权限
实施基于角色的访问控制
使用强加密算法保护数据
加密存储敏感数据
使用恰当的访问控制
保护服务器端会话数据
在每次用户交互时或定期时间间隔后
定期生成新的会话标识符
缓解会话劫持风险
周期性地更新会话标识符
生成新的会话标识符以继续会话
在连接升级时重新验证用户身份
确保会话的连续性
在HTTP到HTTPS转换时更新会话标识符
确保令牌的安全存储和传输
为每个会话分配唯一的令牌
使用强随机令牌或参数
确保请求的真实性和完整性
验证每个请求的来源和令牌
防止跨站点请求伪造攻击
为服务器端操作执行标准会话管理
确保令牌的一次性使用
为每个关键操作分配新的令牌
为高度敏感操作提供会话管理
在TLS连接上传输cookie
配置cookie的“安全”属性
确保cookie在加密通道上传输
为TLS连接上的cookie设置“安全”属性
限制cookie的访问权限为HTTP请求
保护cookie免受XSS攻击
防止客户端脚本访问cookie
将cookie设置为HttpOnly属性
会话管理
使用安全的会话存储机制
设置会话超时和过期策略
验证会话对象的完整性和有效性
服务器端会话对象管理
验证库文件的完整性和来源
处理库文件调用的异常和错误
调用外部授权服务库文件
仅通过全站点部件检查访问授权
包括用户信息、时间戳和失败原因
记录访问失败的详细信息
提供用户友好的错误提示
安全处理访问控制失败
定期备份安全配置文件
在需要时能够迅速恢复配置
备份和恢复安全配置信息
在无法访问安全配置信息时拒绝访问
使用可信系统对象进行访问授权
使用安全的参数传递方式
对脚本执行进行权限控制
验证脚本来源和请求参数
服务器端脚本请求授权
使用令牌或签名验证请求
限制可访问的URL和功能
AJAX和FLASH请求验证
富客户端技术请求授权
确保只有必要的逻辑具有特权
使用最小权限原则
定义特权逻辑的执行边界
隔离有特权的逻辑
加强授权控制
定义角色和对应的文件权限
基于用户角色的文件访问
使用文件系统的访问控制列表
文件和资源访问控制
验证URL访问权限
URL级别的访问控制
验证用户是否具有执行功能的权限
功能级别的访问控制
受保护的URL和功能访问
避免直接暴露对象ID或关键信息
使用安全的对象引用方式
验证对象引用的有效性
直接对象引用访问控制
验证API调用者的身份和权限
服务API的访问控制
基于角色的数据访问策略
应用程序数据的访问控制
服务和应用程序数据访问
限制资源访问
定义用户角色和权限
明确业务处理流程和规则
确定数据类型和访问需求
定义业务规则和数据类型
使用密码、令牌和生物识别等多种验证方式
多因素身份验证
记录失败信息并触发安全响应
身份验证失败处理
身份验证标准和处理流程
确保访问需求与业务目标一致
基于业务需求定义访问需求
访问需求确定
确保策略的有效性和合规性
定期审计访问控制策略
及时发现和处理异常访问事件
监控访问控制事件
访问控制政策执行和监控
访问控制政策和流程
访问控制
服务器作为加密执行平台
验证系统的安全性和可信度
选择可信系统
实施访问控制和身份验证机制
监控和审计加密操作的执行
确保加密功能在可信系统上执行
在可信系统上执行加密功能
基于角色的访问控制
基于策略的访问控制
实施访问控制策略
使用强加密算法
确保加密密钥的安全存储
加密敏感数据
审查访问日志和审计记录
根据安全事件和威胁调整策略
定期审查和更新安全策略
保护主要秘密信息免受未授权访问
硬件故障
软件错误
网络攻击
定义和分类加密模块失败的情况
备份和恢复加密密钥
恢复加密数据的流程
制定故障恢复计划
定期测试故障恢复计划
提高应对加密模块失败的能力
进行故障模拟和应急演练
安全处理加密模块失败的操作
验证随机数生成器的合规性
确保随机数生成器的安全性
选择符合FIPS 140-2标准的随机数生成器
生成随机数、随机文件名
生成随机GUID和随机字符串
在加密模块中使用随机数生成器
验证生成的随机数的随机性和唯一性
根据安全标准更新随机数生成器
定期测试和更新随机数生成器
使用已验证的随机数生成器
加密模块的验证和合规性
加密算法的强度和安全性
了解FIPS 140-2标准的要求
验证加密模块的合规性和安全性
集成符合标准的加密模块到应用程序中
选择符合FIPS 140-2标准的加密模块
根据安全标准更新加密模块
测试和验证更新后的加密模块
定期审查和更新加密模块
遵从FIPS 140-2或其他等同标准
密钥的生成和分发
密钥的存储和备份
定义密钥管理政策和流程
使用硬件安全模块(HSM)存储密钥
定期轮换和更新密钥
实施密钥管理政策和流程
审查密钥使用日志和审计记录
确保密钥管理活动的合规性和安全性
监控和审计密钥管理活动
建立并使用密钥管理政策和流程
加密规范
不要显示操作系统、数据库或框架的特定版本信息
不要泄露数据库表结构或字段信息
不要显示服务器路径或文件结构
避免显示系统的详细信息
隐藏或混淆会话ID
不要在错误消息中直接显示用户帐号信息
不要泄露会话标识符或帐号信息
关闭详细的错误报告
使用自定义错误页面
在生产环境中禁用开发模式的错误显示
使用错误处理以避免显示调试或堆栈跟踪信息
设计统一的错误消息模板
为不同类型的错误设计定制的错误页面
确保错误页面不包含敏感信息
使用通用的错误消息并使用定制的错误页面
不要在错误响应中泄露敏感信息
捕获并处理所有可能的异常
确保错误处理不依赖于外部服务器配置
实现健壮的错误处理机制
回滚事务以恢复数据一致性
重定向用户到友好的错误页面
使用适当的错误恢复策略
确保所有动态分配的内存都被正确释放
避免内存泄漏和潜在的敏感信息泄露
在错误条件发生时,适当的清空分配的内存
应用程序应当处理应用程序错误,并且不依赖服务器配置
使用身份验证和授权机制
确保只有授权人员可以访问错误日志
限制对错误处理逻辑的访问
在默认情况下,应当拒绝访问与安全控制相关联的错误处理逻辑
配置日志文件的位置和权限
确保日志文件只能被授权人员访问
在服务器上配置日志记录
避免在日志中记录敏感信息
使用加密技术保护日志文件
使用安全的日志记录方法
所有的日志记录控制应当在可信系统(比如:服务器)上执行
用户身份验证成功和失败
访问控制成功和失败
定义需要记录的安全事件
设置日志记录级别和过滤器
确保所有相关事件都被记录
配置日志记录以捕获这些事件
日志记录控制应当支持记录特定安全事件的成功或者失败操作
使用UTC时间
确保时间戳的准确性和一致性
记录事件的时间戳
记录触发事件的IP地址和用户名
记录事件的详细描述和上下文
记录事件的来源和类型
确保日志记录包含了重要的日志事件数据
使用HTML实体编码避免XSS攻击
使用合适的编码方法避免SQL注入
对不可信数据进行适当的转义或编码
确保日志记录中包含的不可信数据,不会在查看界面或者软件时以代码的形式被执行
确保只有授权人员可以读取日志文件
避免日志文件被未经授权的人员访问
设置日志文件的访问权限
在传输和存储过程中加密日志文件
使用强加密算法和密钥管理策略
限制只有授权的个人才能访问日志
使用统一的日志格式
确保所有日志记录都遵循这些标准
定义日志记录的格式和标准
使用日志集中管理系统
确保所有日志记录都可以被集中管理和分析
实现日志记录的集中管理
为所有的日志记录采用一个主要的常规操作
不要记录密码、密钥或其他认证凭据
不要记录详细的系统配置或架构信息
避免在日志中记录敏感数据
使用哈希或加密技术保护敏感数据
在日志中只记录脱敏后的数据
对敏感数据进行脱敏处理
不要在日志中保存敏感信息,包括:不必要的系统详细信息、会话标识符或密码
提供灵活的查询接口
支持复杂的日志分析操作
实现日志查询和分析功能
检查异常或可疑的日志条目
使用自动化工具进行日志分析
定期分析日志以发现潜在的安全问题
确保一个执行日志查询分析机制的存在
在应用程序中实施严格的输入验证
确保所有失败的验证都被记录
配置输入验证以记录失败事件
识别常见的错误输入模式
使用这些信息来改进输入验证策略
分析失败的输入验证以改进安全性
记录所有失败的输入验证
记录所有用户身份验证的尝试
特别关注并记录失败的验证事件
捕获并记录身份验证事件
检查异常或可疑的身份验证尝试
使用这些信息来改进身份验证策略
分析身份验证日志以识别潜在的安全风险
记录所有的身份验证尝试,特别是失败的验证
实施严格的访问控制策略
确保所有失败的访问控制都被记录
配置访问控制以记录失败事件
识别常见的访问控制错误
使用这些信息来改进访问控制策略
分析访问控制日志以改进安全性
记录所有失败的访问控制
监控关键状态数据的更改
记录非期待的或异常的修改事件
捕获并记录状态数据的修改事件
检查异常或可疑的修改事件
分析修改日志以识别潜在的安全问题
记录明显的修改事件,包括对于状态数据非期待的修改
错误处理和日志
仅授权完成任务所需的功能
仅允许访问必要的数据和系统信息
定期审查并更新权限设置
监控并审计用户活动
限制用户访问功能、数据和系统信息
授予最低权限
设置访问控制策略
定期清理不再需要的临时文件
监控和审计数据访问
保护服务器上的缓存和临时数据
使用验证过的加密算法
遵循加密规范
定期更换加密密钥
监控加密数据的完整性
加密存储高度机密信息
限制源代码访问权限
混淆和压缩源代码
使用代码签名和完整性检查
定期审计代码库
保护源代码
不在客户端保存明文敏感信息
MS Viewstate
Adodb flash
不在不安全的形式中嵌入敏感信息
删除用户可访问产品中的注释
删除不需要的应用程序和文档
防止敏感信息泄露
不在GET请求中包含敏感信息
使用POST请求传输敏感数据
加密HTTP请求和响应
监控和审计HTTP请求
控制HTTP请求参数
禁用表单自动填充功能
使用“Cache-Control: no-store”控制缓存与“Pragma: no-cache”一起使用
定期清理客户端缓存
禁止自动填充和缓存
当数据不再需要时删除敏感信息
定期清理个人信息和财务数据
使用数据删除策略
监控和审计数据删除操作
删除敏感信息
为服务器中的敏感信息设置访问权限
为缓存数据和临时文件设置访问控制
限制特定系统用户的访问权限
定期审计和更新访问控制策略
提供恰当的访问控制
保护敏感数据
数据保护
检查证书是否未过期
验证证书是否具有正确的域名
在需要时安装中间证书
定期更新TLS证书
确保TLS证书的有效性
配置严格的TLS策略
监控并阻止不安全的连接尝试
发送警报邮件
记录到安全日志
通知管理员关于不安全的连接尝试
禁止不安全的连接回退
对于登录页面和API请求使用HTTPS
对于敏感数据传输使用TLS加密
数据库字段加密
文件存储加密
在敏感信息存储时应用加密
对所有身份验证和敏感信息使用TLS
使用TLS对连接的保护
选择经过验证的加密工具
设置强密码和密钥管理
存储在安全的位置
定期更新备份
定期备份加密密钥
使用文件加密软件
对于FTP、SMTP等使用加密协议
配置VPN或SSH隧道
在需要时启用IPsec
为非HTTP连接配置加密
选择经过验证的加密算法
定期评估加密算法的安全性
在必要时更新加密算法
确保加密算法的强度
支持对敏感文件和非HTTP连接的加密
选择最新的TLS版本
禁用不安全的TLS版本
配置TLS版本
选择强密码套件
禁用弱密码套件
配置TLS密码套件
启用TLS会话恢复
配置TLS重协商策略
确保TLS连接的安全性
使用配置合理的单一标准TLS连接
使用UTF-8作为默认字符编码
确保服务器和客户端都支持UTF-8
在HTTP头中指定字符编码
为数据库连接设置正确的字符集
确保数据库支持所需的字符集
在数据库连接中指定字符编码
在文件头或元数据中指定字符编码
确保文件传输协议支持字符编码
在文件传输中指定字符编码
为所有连接明确字符编码
在Nginx中配置referer过滤
在Apache中配置referer过滤
配置Web服务器以过滤referer
在服务器端代码中实现referer过滤
在客户端代码中实现referer过滤
在应用程序中过滤referer
记录被过滤的referer
监控referer过滤的效果
记录并监控referer过滤活动
过滤来自HTTP referer中包含敏感信息的参数
通讯安全
定期检查并更新服务器操作系统
更新框架和库到最新版本
安装所有可用的安全补丁
服务器、框架和系统部件的最新版本
自动化补丁安装和验证
监控补丁安装状态
定期回顾和更新补丁策略
应用补丁管理策略
确保使用最新版本和补丁
在Web服务器配置中禁用目录列表
验证目录列表功能是否已关闭
禁用目录浏览
关闭目录列表功能
为不同服务配置不同账户
定期审查账户权限
Web服务器、进程和服务的最低权限
限制账户权限
实现全局异常处理机制
记录异常详细信息
确保异常信息不泄露敏感数据
捕获并记录异常
避免显示详细的系统错误
向用户显示友好的错误消息
安全的错误处理
评估每个功能是否必要
删除未使用的功能
审查应用程序功能
删除测试代码和示例文件
定期清理临时文件和日志
清理文件和目录
移除不必要的功能和文件
将敏感路径移至隔离目录
在robots.txt中禁止整个父目录
使用隔离的父目录
测试robots.txt的禁止效果
确保敏感路径无法被外部访问
验证隔离效果
隔离敏感路径
评估应用程序需求
确定使用GET或POST方法
确定使用的HTTP方法
在应用程序中区分处理GET和POST请求
验证输入数据的合法性
处理不同的HTTP方法
明确HTTP方法
在Web服务器配置中禁用不必要的HTTP扩展
验证扩展是否已禁用
关闭WebDAV等扩展
实现强密码策略
使用HTTPS进行加密传输
使用安全的身份验证机制
禁用不必要的HTTP方法
确保HTTP1.0和1.1配置一致
了解并处理HTTP1.0和1.1之间的差异
相似配置或理解差异
配置HTTP1.0和1.1
移除OS、Web服务版本等信息
验证HTTP响应报头是否已清理
在HTTP响应报头中隐藏敏感信息
移除无关信息
实现配置信息的导出功能
验证输出信息的可读性和准确性
以可读形式输出安全配置信息
支持审计的安全配置
添加服务器、框架和库到资产管理系统
定期更新资产信息
注册系统部件和软件
跟踪资产的创建、变更和销毁
定期审计资产管理系统
管理资产生命周期
使用资产管理系统
使用防火墙或VLAN隔离开发环境
限制开发环境的网络访问
从生产网络隔离开发环境
仅授权开发和测试团队访问开发环境
定期审查访问权限
限制访问权限
隔离开发环境
添加代码变更到变更管理系统
跟踪变更的审批和部署状态
管理和记录代码变更
定期审计代码变更历史
确保变更符合安全策略
审计代码变更
使用软件变更管理系统
系统配置
在SQL语句中嵌入参数占位符
使用预编译语句
确保参数与预期的数据类型匹配
使用参数对象绑定值
定义参数化查询方法
实施白名单验证
检查数据类型和长度
实施黑名单验证
对特殊字符进行转义或编码
验证输入数据
返回错误消息但不泄露敏感信息
关闭数据库连接
处理查询失败的情况
使用参数化查询和强类型参数
检查数据格式和范围
验证数据完整性
验证用户输入
使用HTML实体编码
使用URL编码
使用其他适当的编码机制
编码输出数据
返回友好的错误消息
记录验证失败事件
不执行数据库命令
处理验证失败的情况
使用输入验证和输出编码
使用静态类型语言
在动态类型语言中明确指定类型
在代码中定义明确的变量类型
在函数或方法调用前检查类型
验证变量类型在运行时
转换数据类型或返回错误
处理类型不匹配的情况
确保变量是强类型的
仅授予必要的数据库权限
限制对敏感数据的访问
为应用程序分配最小权限
删除不再需要的权限
定期审查权限分配
为每个角色分配适当的权限
实施角色基础访问控制
使用最低权限原则
定期更换密码
避免使用默认密码
使用强密码策略
结合密码和其他验证机制
使用多因子身份验证
使用加密存储凭证
使用HTTPS传输凭证
保护凭证的存储和传输
为数据库访问使用安全凭证
存储在配置文件或环境变量中
不在应用程序中硬编码连接字符串
使用安全的加密算法
加密连接字符串
限制配置文件的访问权限
保护配置文件的安全
连接字符串管理
限制对基础表的直接访问
创建存储过程以封装数据访问逻辑
隐藏数据结构和逻辑细节
实现数据访问抽象
通过存储过程管理删除操作
控制对数据的删除权限
使用存储过程
减少连接创建和销毁的开销
使用连接池
避免长时间挂起的连接
设置连接超时
在异常处理中关闭连接
在不再需要时关闭连接
快速关闭数据库连接
删除或修改默认管理员密码
删除或禁用未使用的账户
禁用不必要的默认账户
管理默认账户和密码
最小化安装范围
仅安装必要的功能和选项
定期审查并禁用未使用的功能
禁用不必要的存储过程和服务
关闭不必要的数据库功能
避免暴露潜在的安全风险
删除数据库模式示例
删除不必要的默认信息
删除或禁用不必要的账户
定期审查账户设置
禁用不支持业务需求的默认账户
确保凭证与角色权限相匹配
为每个角色分配专用凭证
用户
只读用户
访问用户
管理员
确保角色之间的权限隔离
为不同角色使用不同的凭证
数据库安全
避免使用eval()等不安全的函数
使用安全的API或函数处理用户数据
限制输入长度防止缓冲区溢出
检查输入格式确保符合预期
使用白名单方法验证输入内容
对用户输入进行长度、格式和内容检查
对所有用户提交的数据进行验证和过滤
使用角色和权限管理系统
记录并监控所有敏感功能的调用
确保只有授权用户才能调用敏感功能
对动态调用功能进行权限控制
不要直接传送用户提交的数据
要求用户设置复杂密码
定期提示用户更改密码
实现用户注册和登录功能
使用HTTPS保护会话数据
使用会话管理跟踪用户状态
验证用户身份和权限
在允许上传前进行身份验证
包括文档、图片、音频、视频等类型
定义允许上传的文档类型列表
验证文件扩展名是否合法
使用文件扩展名进行初步筛选
检查文件头信息确定文件类型
使用文件内容检查进行精确验证
对上传文档进行类型检查
只允许上传相关文档类型
定义常见文件类型的头信息
使用文件头信息确定文件类型
编写匹配算法和逻辑
检查文件头信息是否匹配预期
编写文件类型检查函数
通过检查文件报头信息验证文档类型
设置文件访问的IP白名单
配置内容服务器并设置访问权限
设计文件存储的数据库表结构
实现文件上传和下载的数据库操作
使用数据库存储文件
使用内容服务器存储文件
不要把文件保存在Web环境中
只允许上传不可执行的文件类型
限制上传文件的类型
检测是否包含恶意代码或脚本
使用安全工具扫描文件内容
对上传文件进行内容检查
防止上传可能被解析的文件
设置适当的文件权限(如644)
确保只有Web服务器可以写入文件
设置文件上传目录的权限
使用自动化脚本或工具
定期扫描目录检查异常文件
监控文件上传目录
关闭文件上传目录的运行权限
防止服务访问系统文件或执行系统命令
将上传服务运行在受限的环境中
使用chroot或类似技术限制进程权限
如suid、sgid、exec等
禁用不必要的文件系统特性
使用安全的文件系统挂载选项
在UNIX中实现安全的文件上传服务
包括文件名格式、文件类型等
定义允许的文件名和类型列表
使用正则表达式进行匹配
确保文件名和类型在白名单中
验证上传文件的文件名和类型
使用白名单记录允许的文件名和类型
检查参数是否符合预期格式
对传入参数进行格式和内容检查
编写参数验证函数
确保默认值安全且符合预期
当参数无效时使用默认值
使用默认参数值
验证传递的参数值
避免使用客户端重定向(如JavaScript)
使用服务器端的重定向逻辑
使用安全的重定向方法
使用白名单验证URL
确保重定向URL是安全的且符合预期
验证重定向URL
不要将用户提交的数据传递到动态重定向中
定义允许访问的目录和文件列表
使用预设路径列表
确保索引值安全且唯一
将路径映射为索引值进行传递
使用索引值代替路径
不要传递目录或文件路径
在应用程序中始终使用相对路径或URL引用文件
使用相对路径或URL
确保路径输入是安全的且符合预期
验证和过滤路径输入
绝对不要将绝对文件路径传递给客户
使用文件系统权限设置文件和目录为只读
设置文件和目录的只读权限
确保应用程序文件和资源是只读的
选择知名的、经过验证的文件扫描工具
使用安全的文件扫描工具
确保扫描工具能够检测最新的病毒和恶意软件
定期更新病毒库和扫描引擎
记录所有扫描结果以便后续分析和审计
监控和记录扫描结果
对用户上传的文件进行病毒和恶意软件扫描
文件管理
文本类型验证
日期时间类型验证
检查数据类型
最大长度限制
最小长度限制
检查数据长度
避免SQL注入
避免跨站脚本攻击(XSS)
检查数据内容
确保数据格式符合预期
去除非法字符
HTML实体转义
数据清洗和转义
输入数据验证
隐藏关键字段
使用占位符
敏感信息脱敏
确保输出为预期的数据类型
防止信息泄露
限制输出格式
限制输出内容
使用UTF-8编码
防止字符编码攻击
输出数据控制
确保返回值非空
检查分配的内存大小
捕获std::bad_alloc异常
使用new操作符后检查异常
在内存分配时确认
使用sizeof函数获取大小
与预期大小进行比较
检查目标缓存的容量
为字符串结束符'\\0'预留空间
在写入前预留空间
在数据写入前确认
重复确认缓存空间的大小是否和指定的大小一样
了解 strncpy() 不会添加 NULL 终止符
理解 strncpy() 的截断行为
了解 strncpy() 的行为
预留空间给 NULL 终止符
考虑字符串可能的增长
确保目标缓存足够大
使用 strncat() 与手动添加 NULL 终止符结合
使用安全的字符串处理库(如C++的std::string)
使用 strncpy() 的安全替代方案
确保没有发生截断
检查 strncpy() 的返回值
确保字符串正确终止
在写入后手动添加 NULL 终止符
错误处理和验证
当使用允许多字节拷贝的函数时,比如 strncpy(),如果目的缓存容量和源缓存容量相等时,需要留意字符串没有 NULL 终止
动态调整缓存大小以应对不同场景
基于数据类型和预期数据量设置缓存大小
根据历史数据或预测模型估算缓存需求
确定缓存的最大分配空间
检查内存分配是否成功
使用安全的内存分配函数
初始化缓存并设置状态标志
在循环前初始化缓存
设置阈值以触发缓存清理或扩展
跟踪已使用的缓存空间
在达到阈值时采取相应措施
在循环中检查缓存使用情况
确保所有指针都被置为NULL
释放已分配的内存
重置缓存状态以准备下一次使用
在循环后清理缓存
在循环中调用函数时检查缓存大小
考虑字符编码和国际化需求
基于应用场景和数据需求设定长度
定义合理的字符串长度限制
处理长度超出限制的情况
使用字符串处理函数检查长度
在接收输入时检查长度
确保截断后的字符串仍然有效
使用安全的字符串截断函数
在传递前截断字符串
缩短输入字符串长度
避免在异常情况下遗漏关闭操作
在不再需要时立即关闭
手动关闭连接和文件句柄
确保资源在代码块结束时被释放
在Python中使用`with`语句
使用资源管理类或上下文管理器
在超时后采取适当的恢复措施
防止因资源长时间占用导致的阻塞
设置资源超时和重试机制
关闭资源时注意事项
理解操作系统对内存的保护机制
区分数据段和代码段
了解堆栈执行权限的概念
确保生成的代码符合安全要求
使用编译器选项或链接器脚本
在编译时设置堆栈不可执行
采取适当的恢复或退出策略
检测堆栈溢出和异常
在运行时监控堆栈状态
使用不可执行的堆栈
阅读相关的安全文档和漏洞报告
学习常见的缓冲区溢出、格式字符串漏洞等
了解常见的安全漏洞和函数
在Python中使用`join`代替字符串连接
在C/C++中使用`snprintf`、`strncat`等
使用安全的替代函数
使用白名单或黑名单策略
防止恶意输入导致函数被滥用
对输入进行验证和过滤
避免使用已知有漏洞的函数
检查内存释放是否成功
使用`free`、`delete`等函数
确保所有动态分配的内存都被释放
在释放内存后立即将指针置为NULL
防止悬挂指针和野指针
将指针置为NULL
确保在异常情况下也能正确清理内存
使用`try-catch`、`try-finally`等结构
在异常和错误处理中清理内存
在方法结束时和退出节点清理内存
详细记录错误堆栈
记录用户输入和输出
记录异常信息
定义错误码和错误消息
制定错误处理流程
异常处理机制
错误处理和日志记录
内存管理
检查库的更新频率
分析库的贡献者数量
阅读库的文档和常见问题解答
评估库的社区活跃度
监控库的已知安全漏洞
选择经过社区验证的开源库
了解API的更新日志
遵循API的最佳实践
使用API的示例代码
优先使用官方推荐的API
避免使用已弃用的API
使用官方的API和SDK
内存泄漏
安全漏洞
性能问题
理解非托管代码的风险
寻找托管代码的替代方案
避免非托管代码的使用
使用已测试且已认可的托管代码
读取文件
写入文件
删除文件
文件操作API
发送HTTP请求
接收HTTP响应
处理网络错误
网络操作API
操作系统任务API
命令注入
权限提升
了解命令shell的安全风险
安全的API调用
使用安全的替代方案
避免使用命令shell
使用特定任务的内置API
选择适当的校验和算法
验证文件的完整性
计算文件的校验
生成文件的哈希值
比较哈希值以验证文件的完整性
使用哈希值验证
使用校验和验证
验证代码和文件的完整性
死锁的定义
死锁的预防
理解死锁的原理
设置锁的超时时间
检测并解决死锁
实现死锁机制
使用死锁防止冲突
互斥锁
信号量
了解同步机制的类型
设置同步原语
编写同步代码
实现同步机制
使用同步机制
管理并发和同步
只读访问
读写访问
理解共享资源的访问模式
使用访问控制列表
实施最小权限原则
实现访问控制
避免不恰当的访问
实施数据的完整性检查
验证数据的来源
使用数据校验
防止数据篡改
保护共享资源
避免未初始化的变量
使用默认值初始化
理解变量声明的最佳实践
在声明时初始化
确保在需要之前初始化
避免在循环中重复初始化
检查变量的使用上下文
在首次使用前初始化
初始化变量和数据存储
权限泄露
权限滥用
理解权限提升的风险
基于任务的权限提升
基于用户的权限提升
设计权限提升策略
尽量晚点提升权限
使用try-finally块确保权限释放
记录权限的使用情况
在任务完成后释放权限
尽快放弃所提升的权限
管理权限提升
加法、减法、乘法、除法
取模、位运算
研究数学运算符的行为
整数溢出
浮点数精度
分析数值类型的特性
了解编程语言的底层表达式
使用大数库
进行数值缩放
处理非常大或非常小的数
检测NaN值
处理无穷大值
处理NaN(not-a-number)和无穷大
注意数值计算的边界情况
避免计算错误
代码注入
命令执行
了解动态执行的风险
白名单验证
格式验证
使用安全的输入验证
避免动态执行用户数据
限制用户输入
使用安全的模板
禁止用户生成新代码
代码签名验证
代码版本控制
限制用户修改现有代码
限制用户代码生成或更改现有代码
应用程序
第三方代码
库文件
确定所需的组件
评估组件的功能
分析业务流程
评估业务需求
使用漏洞扫描工具
查阅安全公告
检查组件的已知漏洞
模拟攻击场景
验证组件的响应
测试组件的交互
验证组件的安全性
审核从属组件
选择安全的签名算法
实施签名验证机制
生成和验证签名
使用HTTPS协议
验证传输的完整性
加密更新内容的传输
使用加密签名验证更新
定期更新
基于安全事件的更新
制定更新计划
记录更新日志
检测更新后的异常
监控更新过程
自动更新策略
执行安全更新
通用编码规范
安全编码规范检查项
0 条评论
回复 删除
下一页
