UDN-企业互联网技术人气社区

板块导航

浏览  : 30998
回复  : 283

[UAP63开发全攻略] 【手册】【规范与框架】UAPV6-安全编码规范

  [复制链接]
胭脂粉的头像 楼主
发表于 2014-7-10 11:38:38 | 显示全部楼层 |阅读模式
一 术语表 ................................................................................................................................. 1
二 基本原则 ............................................................................................................................ 3
2.1 输入验证 ............................................................................................................................... 3
2.2 输出编码 ............................................................................................................................... 5
2.3 身份验证和密码管理 ........................................................................................................... 5
2.4 会话管理 ............................................................................................................................... 7
2.5 访问控制 ............................................................................................................................... 9
2.6 加密规范 ............................................................................................................................. 10
2.7 错误处理和日志 ................................................................................................................. 10
2.8 数据保护 ............................................................................................................................. 11
2.9 通讯安全 ............................................................................................................................. 12
2.10 数据库安全 ..................................................................................................................... 13
2.11 文件管理 ......................................................................................................................... 13
2.12 通用编码规范 ................................................................................................................. 14
三 数据库 ............................................................................................................................... 15
3.1 使用参数化的SQL .............................................................................................................. 15
3.1.1 简介 ............................................................................................................................. 15
3.1.2 详细描述 ..................................................................................................................... 15
3.2 通过“行”级别的访问控制来使用数据库 .......................................................................... 16
3.2.1 简介 ............................................................................................................................. 16
3.2.2 详细描述 ..................................................................................................................... 16
3.3 把数据库中的数据作为不能完全相信的输入对待 ......................................................... 17
3.3.1 简介 ............................................................................................................................. 17
3.3.2 详细描述 ..................................................................................................................... 18
四 WEB 应用开发 ................................................................................................................ 19
4.1 基本安全 ............................................................................................................................. 19
4.1.1 使用POST 而不是GET ................................................................................................ 19
4.1.2 假设浏览器已被控制 ................................................................................................. 19
4.1.3 假设浏览器是公开的 ................................................................................................. 20
4.1.4 使用JavaScript 验证是不安全的 ............................................................................... 21
4.1.5 不能依赖Request 到达的顺序 .................................................................................. 21
4.1.6 在恶意环境中保护浏览器 ......................................................................................... 22
4.1.7 创建一个默认的错误页面 ......................................................................................... 22
4.1.8 使用通用的错误消息 ................................................................................................. 23
4.2 会话 ..................................................................................................................................... 23
4.2.1 在每次认证后打开一个新的会话.............................................................................. 23
4.2.2 保护会话中使用的cookie .......................................................................................... 24
4.2.3 强制执行一个会话最大空闲时间.............................................................................. 25
4.2.4 强制执行一个会话最大生存周期.............................................................................. 25
集团UAP中心-技术支持部
4.2.5 允许用户终止其会话 ................................................................................................. 25
4.2.6 在会话终止时清空其数据 ......................................................................................... 26
五 代码安全--JAVA 系 ........................................................................................................ 27
5.1 输入验证 ............................................................................................................................. 27
5.1.1 命令注入(Command Injection) .................................................................................... 27
5.1.2 跨站脚本(Cross-Site Scripting) .................................................................................... 29
5.1.3 拒绝服务(Denial of Service) ........................................................................................ 32
5.1.4 日志伪造 (Log Forging) .............................................................................................. 33
5.1.5 缺少XML 验证(Missing XML Validation) .................................................................... 35
5.1.6 路径操纵(Path Manipulation) ..................................................................................... 35
5.1.7 资源注入(Resource Injection) ..................................................................................... 36
5.1.8 SQL 注入(SQL Injection) ............................................................................................... 38
5.1.9 不安全的反射(Unsafe Reflection) ............................................................................... 41
5.1.10 整数溢出 ..................................................................................................................... 42
5.2 安全特性 ............................................................................................................................. 43
5.2.1 访问控制:数据库 ..................................................................................................... 43
5.2.2 不安全的随机数 ......................................................................................................... 44
5.2.3 加密 ............................................................................................................................. 44
5.2.4 密码管理 ..................................................................................................................... 45
5.2.5 密码管理:源代码中的密码 ..................................................................................... 45
5.2.6 密码管理:重定向中的密码 ..................................................................................... 46
5.2.7 密码管理:弱加密 ..................................................................................................... 47
5.2.8 JAVA 对象持有密码的问题 ........................................................................................ 47
5.2.9 隐私侵犯 ..................................................................................................................... 48
5.2.10 固定的会话 ................................................................................................................. 50
5.3 系统信息泄露 ..................................................................................................................... 51
5.3.1 系统信息泄露 ............................................................................................................. 51
5.3.2 JSP 中的HTML 注释 .................................................................................................... 51
六 移动应用 .......................................................................................................................... 52
6.1 基本安全 ............................................................................................................................. 52
6.1.1 本地数据保护 ............................................................................................................. 52
6.1.2 密钥安全 ..................................................................................................................... 53
6.1.3 android 组件通信安全 ................................................................................................ 53
6.1.4 android 组件通信安全 ................................................................................................ 53
游客,如果您要查看本帖隐藏内容请回复






相关帖子

发表于 2014-7-11 22:19:15 | 显示全部楼层
谢谢分享,,,
使用道具 举报

回复

发表于 2014-7-11 22:19:50 | 显示全部楼层
谢谢分享,,,
使用道具 举报

回复

发表于 2014-7-12 11:14:18 | 显示全部楼层
学习,谢谢!
使用道具 举报

回复

发表于 2014-7-12 16:52:52 | 显示全部楼层
haohaohaohaohao
使用道具 举报

回复

发表于 2014-7-12 20:52:27 | 显示全部楼层
好东西 必须顶,必须回帖呀
使用道具 举报

回复

发表于 2014-7-14 12:56:30 | 显示全部楼层
不错,看看。。。。。
使用道具 举报

回复

发表于 2014-7-14 16:42:01 | 显示全部楼层
路过,赞一个,
使用道具 举报

回复

发表于 2014-7-15 09:10:45 | 显示全部楼层
谢谢,下载看看
使用道具 举报

回复

发表于 2014-7-15 09:29:52 | 显示全部楼层
good!!!!!!!!!!!!!!!!!!!!!!!!1
点评 ( 2 ) 收起 / 展开点评

一天一个大苹果 2015年09月21日 20:11 详情 回复

先回帖 再看看

天边的微笑 2015年08月28日 09:55 详情 回复

啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊

使用道具 举报

回复

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

关于我们
联系我们
  • 电话:010-86393388
  • 邮件:udn@yonyou.com
  • 地址:北京市海淀区北清路68号
移动客户端下载
关注我们
  • 微信公众号:yonyouudn
  • 扫描右侧二维码关注我们
  • 专注企业互联网的技术社区
版权所有:用友网络科技股份有限公司82041 京ICP备05007539号-11 京公网网备安1101080209224 Powered by Discuz!
快速回复 返回列表 返回顶部