内容发布更新时间 : 2024/5/2 7:54:38星期一 下面是文章的全部内容请认真阅读。

DKBA

华为技术有限公司内部技术规范 DKBA1606-XXXX.X

Web应用安全开发规范V1.5

2013年XX月XX日发布2013年XX月XX日实施 华为技术有限公司

HuaweiTechnologiesCo.,Ltd. 版权所有侵权必究 Allrightsreserved

修订声明Revisiondeclaration 本规范拟制与解释部门：

网络安全能力中心&电信软件与核心网网络安全工程部 本规范的相关系列规范或文件：

《C&C++语言安全编程规范》《Java语言安全编程规范》 相关国际规范或文件一致性： 无

替代或作废的其它规范或文件： 无

相关规范或文件的相互关系：

《产品网络安全红线》和《电信软件与核心网业务部安全能力基线》中的Web安全要求引用了本规范的内容，如果存在冲突，以本规范为准。 规范号 主要起草部门专家 主要评审部门专家 修订情况

DKBA1606-2007.4 安全解决方案：赵武42873，杨光磊57125，万振华55108

软件公司设计管理部：刘茂征11000，刘高峰63564，何伟祥33428 安全解决方案：刘海军12014，吴宇翔18167，吴海翔57182 接入网：彭东红27279 无线：胡涛46634

核心网：吴桂彬41508，甘嘉栋33229，马进32897，谢秀洪33194，张毅27651，张永锋40582

何伟祥33428 刘高峰63564，龚连阳00129383，许汝波62966，吴宇翔00120395，王欢00104062，吕晓雨56987 V1.2

增加了WebService、Ajax和上传和下载相关的安全规范。 何伟祥00162822 V1.3

增加了防止会话固定和防止跨站请求伪造的安全规范。 何伟祥00162822 V1.4

增加了“规则3.4.1”的实施指导；删除了“建议3.4.1”；修改了“6配套CBB介绍”的内容和获取方式。增加了“3.9DWR” 何伟祥00162822 吴淑荣00197720 魏建雄00222906 谢和坤00197709 李田00042091 孙波00175839

朱双红00051429 王伟00207440 陈伟00141500 V1.5 增加“PHP”

增加“3.8RESTfulWebService” 修改“” 删除“”和“”

附件文档作为对象直接插入主文档 目录TableofContents 1 概述 7 1.1 背景简介 7 1.2 技术框架 7 1.3 使用对象 8 1.4 适用范围 8 1.5 用词约定 9 2 常见WEB安全漏洞 9 3 WEB设计安全规范 10 3.1 WEB部署要求 10 3.2 身份验证 11 3.2.1 口令 11 3.2.2 认证 11 3.2.3 验证码 13 3.3 会话管理 13 3.4 权限管理 15 3.5 敏感数据保护 16 3.5.1 敏感数据定义 16 3.5.2 敏感数据存储 16 3.5.3 敏感数据传输 17