文档介绍:TheOpenWebApplicationSecurityProject�WEB应用程序安全评估�091127内部讨论版郝轶******@.cnQQ群:956745282009年12月WEB应用程序安全评估方案工作计划评估对象:WEB应用程序覆盖内容:覆盖等级保护、SDLC相关要求计划进度:12月1日完成SDLC内容的整合12月10日完成WORD版《WEB应用程序安全评估方案初稿》评估方式:本方案目前以文档审阅、人员访谈、人工检查方式为主未来计划:完成含中间件、数据库管理系统、操作系统、网络、安全管理的《WEB应用安全评估方案》2什么是WEB应用WEB应用是指通过浏览器作为客户端,具有一定业务功能的BS应用系统,包括应用系统本身和应用系统所提供的服务。3什么是WEB应用程序评估WEB应用安全评估是指采用文档审阅、人员访谈、安全扫描、渗透测试、代码审计、应用检查等方法,是全面深入地发现WEB应用系统在应用层的安全问题的一种手段4WEB应用程序安全评估范围WEB应用系统包括以下内容:信息安全技术WEB应用程序中间件数据库管理系统操作系统网络信息安全管理应用相关管理制度、规范和流程OWASPCHINA本方案的评估对象仅为:WEB应用程序5WEB应用程序安全评估方法WEB应用程序安全评估方法包括:系统外部文档审阅人员访谈安全扫描渗透测试系统内部人工检查代码审计6WEB应用程序安全评估内容7WEB应用程序身份鉴别身份验证是确定调用方身份的过程身份验证的主要威胁包括标识欺骗、***、特权提升和未经授权的访问主要的安全措施包括:标识管理是否对用户账户进行了明确标识是否对用户标账户设置锁定策略是否变更第三方提供应用系统中默认用户的名称鉴别管理是否对对静态口令的格式和长度做出强制要求是否支持静态口令有效期是否提供登录失败处理功能是否在登录失败的提示信息中包含可利用信息是否在用户存储中存储密码会话管理是否对验证cookies及session有保护措施8WEB应用程序访问控制访问控制是授权确定已通过验证的标识可以执行哪些操作以及可以访问哪些资源。错误授权或弱授权会导致信息泄漏和数据篡改。深入防御是应用程序授权策略的关键安全原则访问控制的主要威胁包括非授权访问保密数据或受限数据、篡改数据以及执行未经授权的操作主要的安全措施包括:权限管理是否对访问主体和客体设定了有效的权限控制粒度是否对访问主体执行了权限最小原则是否修改了第三方应用程序的默认账户的访问权限标记管理是否对重要信息资源设置敏感标记后台访问是否对登录应用系统管理后台进行登录源限制是否应对后台地址进行增强复杂度处理9WEB应用程序安全审计安全审计是发现入侵迹象、不能验证用户操作,以及在诊断问题的有效手段安全审计的主要威胁包括审计进程被中断、审计记录被篡改主要的安全措施包括:审计范围是否提供覆盖到每个用户的安全审计功能,记录应用系统的重要安全相关事件,包括重要用户行为、系统资源的异常使用和重要系统功能的执行等审计内容是否审计记录的内容包括事件日期、时间、发起者信息、类型、描述和结果审计保护是否无法单独中断审计进程是否无法删除、修改或覆盖审计记录10