文档介绍:集团web安全标准ver目的 本文档是为了让大家对各种web安全威胁的产生原因、常见攻击手段有更深入的了解,并且作为各种web安全威胁的修补方案标准,以便大家能够快速的定位漏洞代码和解除安全隐患。目录二零一零年 1阿里巴巴() 1目的 2使用范围 2适合读者 2版本控制 2分发控制 2第一章页面展示 5CrossSiteScript 5安全威胁 6代码示例 6攻击实例 7解决方案 8FLASH 10安全威胁 11代码示例 11攻击实例 11解决方案 12Third-partyscriptreferences 15安全威胁 15代码示例 15攻击方法 16解决方案 16第二章伪装 16Cross-ery 16安全威胁 16代码示例 16攻击实例 17解决方案 18常见问题 19URLredirect 19安全威胁 19代码示例 19攻击方法 19解决方案 21第三章注入 21SQLinjection 21安全威胁 22代码示例 22攻击实例 23解决方案 23Codeinjection 24安全威胁 24代码示例 24攻击实例 25解决方案 26XMLinjection 26安全威胁 26代码示例 26攻击实例 27解决方案 mandinjection 28安全威胁 28代码示例 28攻击实例 28解决方案 28常见问题 28第四章文件操作 28Fileupload 28名称定义 28代码示例 28攻击实例 29解决方案 29FiledownloadandDirectorytraversal 30安全威胁 30代码示例 30攻击实例 30解决方案 31第五章访问控制 essControl 31名称定义 31代码示例 31攻击方法 32解决方案 essControl 32安全威胁 32代码示例 32攻击实例 33解决方案 34常见问题 34第六章Session管理 35Cookiehttponlyflag 35安全威胁 35代码示例 35攻击实例 35解决方案 35常见问题 35CookieSecureflag 35名称定义 36代码示例 36攻击方法 36解决方案 36SessionExpires 37安全威胁 37代码示例 37攻击实例 37解决方案 37第七章密码算法安全 38Insecure Pseudorandomness 38安全威胁 38代码示例 38攻击实例 39解决方案 40InsufficientEncryptionStrength 40安全威胁 40代码示例 40攻击实例 41解决方案 41第八章错误处理与日志 42ErrorHandling 42安全威胁 42代码示例 42攻击实例 43解决方案 43Logging 44记录日志 44日志存储 44日志字段 44第九章Changelog 45第十章相关链接 45页面展示CrossSiteScript安全威胁CrossSiteScript(XSS),跨站脚本攻击。攻击者利用应用程序的动态展示数据功能,在html页面里嵌入恶意代码。当用户浏览该页之时,这些嵌入在html中的恶意代码会被执行,用户浏览器被攻击者控制,从而达到攻击者的特殊目的。跨站脚本攻击有两种攻击形式1、反射型跨站脚本攻击 攻击者会通过社会工程学手段,发送一个URL连接给用户打开,在用户打开页面的同时,浏览器会执行页面中嵌入的恶意脚本。2、存储型跨站脚本攻击 攻击者利用web应用程序提供的录入或修改数据功能,将数据存储到服务器或用户cookie中,当其他用户浏览展示该数据的页面时,浏览器会执行页面中嵌入的恶意脚本。所有浏览者都会受到攻击。3、DOM跨站攻击 由于html页面中,定义了一段JS,根据用户的输入,显示一段html代码,攻击者可以在输入时,插入一段恶意脚本,最终展示时,会执行恶意脚本。 DOM跨站和以上两个跨站攻击的差别是,DOM跨站是纯页面脚本的输出,只有规范使用JAVASCRIPT,才可以防御。恶意攻击者可以利用跨站脚本攻击做到:1、盗取用户cookie,伪造用户身份登录。2、控制用户浏览器。3、结合浏览器及其插件漏洞,下载病毒木马到浏览者的计算机上执行。4、衍生URL跳转漏洞。5、让官方网站出现钓鱼页面。6、蠕虫攻击代码示例直接在html页面展示“用户可控数据”,将直接导致跨站脚本威胁。Java示例:某JSP文件while(()) { %> <tr> <td><%=("id")%></td> <td><%=("pname")%></td> <td><%=("pdesc")%></td> <td><%=("ptype")%></td> </tr> <% }代码中这几个加粗的变量“r