1. 您所在位置:
  2. 网站首页
  3. 文档分类
  4. 办公文档
  5. PPT模板

WEB应用安全基线-模板.docxVIP

WEB应用安全基线-模板.docx

    1. 1、本文档共7页,可阅读全部内容。
    2. 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
    3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
    4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
    5. 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
    6. 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
    7. 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
    8. 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
    查看更多

    安全基线项目名称

    Web应用账户锁定策略安全基线要求项

    安全基线编号

    ?SBL-WebAPP-01

    安全基线项说明?

    用户登录失败一定次数后系统自动锁定账号一段时间,以防止暴力猜测密码。

    检测操作步骤

    尝试使用错误用户名口令失败登录多次,

    基线符合性判定依据

    用户登录失败一定次数后系统自动锁定账号。

    备注

    ?

    安全基线项目名称

    Web应用登录验证策略安全基线要求项

    安全基线编号

    ?SBL-WebAPP-02

    安全基线项说明?

    用户登录需提供图片验证码,以防止固定密码暴力猜测账号。

    检测操作步骤

    检查登录认证界面输入项,并右键点击图片查看链接属性。

    基线符合性判定依据

    要求包含图片验证码输入项,并且图片链接属性不得包含明文图片验证码。

    备注

    ?

    安全基线项目名称

    Web应用口令传输策略安全基线要求项

    安全基线编号

    ?SBL-WebAPP-03

    安全基线项说明?

    不能明文传输用户登录密码。

    检测操作步骤

    尝试登录系统,并使用抓包工具查看交互过程中在网络传输的内容。

    基线符合性判定依据

    要求不得出现明文口令

    备注

    ?

    安全基线项目名称

    Web应用保存登录安全基线要求项

    安全基线编号

    ?SBL-WebAPP-04

    安全基线项说明?

    不能提供“保存登录”功能,该功能可能被利用于CSRF攻击。

    检测操作步骤

    检查登录界面是否提供了保存登录功能

    基线符合性判定依据

    不得提供该功能。

    备注

    ?

    安全基线项目名称

    Web应用纵向访问安全基线要求项

    安全基线编号

    ?SBL-WebAPP-05

    安全基线项说明?

    合理进行纵向访问控制,不允许普通用户访问管理功能。

    检测操作步骤

    了解是否有不允许普通用户访问的功能,尝试直接在浏览器中访问功能链接。

    基线符合性判定依据

    用户不得跨权限访问受控页面

    备注

    ?

    安全基线项目名称

    Web应用横向访问安全基线要求项

    安全基线编号

    ?SBL-WebAPP-06

    安全基线项说明?

    合理进行横向访问控制,不允许用户访问其他用户的敏感数据。

    检测操作步骤

    了解是否存在敏感信息,检查是否对个人敏感信息进行了有效保护

    基线符合性判定依据

    用户不得跨权限查看其它用户受保护敏感信息

    备注

    ?

    安全基线项目名称

    Web应用敏感资源访问安全基线要求项

    安全基线编号

    ?SBL-WebAPP-07

    安全基线项说明?

    需要限制对敏感资源的访问,例如后台管理,日志记录等。

    检测操作步骤

    检查服务器的文件是否存在敏感资源,测试是否限制了这些资源的访问。

    基线符合性判定依据

    对敏感资源的访问应当受控。

    备注

    ?

    安全基线项目名称

    Web应用会话超时安全基线要求项

    安全基线编号

    ?SBL-WebAPP-08

    安全基线项说明?

    当用户长时间不操作时,系统自动终止超时会话。

    检测操作步骤

    登录系统后不操作,等待合理的时间间隔。

    基线符合性判定依据

    要求预先设计的时间间隔后查看页面自动中止超时会话。

    备注

    ?

    安全基线项目名称

    Web应用会话终止安全基线要求项

    安全基线编号

    ?SBL-WebAPP-09

    安全基线项说明?

    系统需提供“退出”功能,允许用户强制终止当前的会话。

    检测操作步骤

    登录系统后点击系统提供的“退出”功能,然后在同一IE窗口下视图回退到登录后的页面,并访问相应的功能

    基线符合性判定依据

    点击退出后,上述检测操作结果不成功

    备注

    ?

    安全基线项目名称

    Web应用会话标识安全基线要求项

    安全基线编号

    ?SBL-WebAPP-10

    安全基线项说明?

    会话标识必须足够随机,防止攻击者猜测标识或依据当前标识推导后续的标识。

    检测操作步骤

    检查多个会话标识的格式。

    基线符合性判定依据

    多个会话标识不得存在简单明了的逻辑关系,要求具有随机性

    备注

    ?

    安全基线项目名称

    Web应用会话标识复用安全基线要求项

    安全基线编号

    ?SBL-WebAPP-11

    安全基线项说明?

    用户登录后必须分配新的会话标识,不能继续使用用户未登录前所使用的标识。

    检测操作步骤

    检查登录前后是否使用相同的会话标识。

    基线符合性判定依据

    用户登录后必须分配新的会话标识,不能继续使用用户未登录前所使用的标识。

    备注

    ?

    安全基线项目名称

    Web应用防范跨站脚本安全基线要求项

    安全基线编号

    ?SBL-WebAPP-12

    安全基线项说明?

    系统要防止将用户输入未经检查就直接输出到用户浏览器,防范跨站脚本攻击。

    检测操作步骤

    检查系统是否存在跨站脚本攻击漏洞。例如在能够回显的输入框输入

    基线符合性判定依据

    要求系统能够将输入内容中的控制字当作纯文本内容处理

    备注

    ?

    安全基线项目名称

    Web应用防范SQL注入安全基线要求项

    安全基线编号

    ?SBL-WebAPP-13

    安全基线项说明?

    系统要防止将用户输入未经检查就用于构造数据库查询,防范SQL注入攻击。

    检测操作步骤

    检查系统是

    您可能关注的文档

    最近下载

    文档评论(0)

    ivanjong + 关注
    实名认证
    文档贡献者

    该用户很懒,什么也没介绍

    咨询Ta 进入空间

    1亿VIP精品文档

    更多 >

    相关文档

    更多 >