【1024】华为WEB应用系统安全规范v1.5 2016年6月2日 srxh 写评论 目 录 Table of Contents 1 概述…. 7 1.1 背景简介…. 7 1.2 技术框架…. 8 1.3 使用对象…. 9 1.4 适用范围…. 9 1.5 用词约定…. 9 2 常见Web安全漏洞…. 10 3 Web设计安全规范…. 11 3.1 Web部署要求…. 11 3.2 身份验证…. 12 3.2.1 口令… 12 3.2.2 认证… 12 3.2.3 验证码… 15 3.3 会话管理…. 16 3.4 权限管理…. 17 3.5 敏感数据保护…. 18 3.5.1 敏感数据定义… 18 3.5.2 敏感数据存储… 18 3.5.3 敏感数据传输… 20 3.6 安全审计…. 21 3.7 Web Service.. 22 3.8 RESTful Web Service.. 23 3.9 DWR… 24 4 Web编程安全规范…. 25 4.1 输入校验…. 25 4.2 输出编码…. 30 4.3 上传下载…. 30 4.4 异常处理…. 31 4.5 代码注释…. 31 4.6 归档要求…. 32 4.7 其他…. 33 4.8 PHP.. 34 5 Web安全配置规范…. 36 6 配套CBB介绍…. 37 6.1 WAF CBB.. 37 6.2 验证码CBB.. 38 7 附件…. 38 7.1 附件1 Tomcat配置SSL指导…. 38 7.2 附件2 Web Service 安全接入开发指导…. 38 7.3 附件3 客户端IP鉴权实施指导…. 38 7.4 附件4 口令安全要求…. 38 7.5 附件5 Web权限管理设计规格说明书…. 39 链接: http://pan.baidu.com/s/1jHBXEf0 密码: 5d55