web安全8

规则3.6.4：对日志模块占用资源必须有相应的限制机制。
说明：限制日志模块占用的资源，以防止如自动的恶意登陆尝试导致的资源枯竭类DOS攻击；比如限制日志记录占用的磁盘空间。
建议3.6.1：安全日志应该有备份及清理机制。
说明：备份及清理机制包括定期备份及清理安全日志和监控用于存放安全日志的磁盘空间的使用情况。可以配置定期备份及清理的时间，可以配置以用于存放安全日志的磁盘空间使用率达到多少时进行备份及清理。
建议3.6.2：通过网络形式保存安全日志。
说明：在生成安全日志时，即时将日志保存到网络上其他主机，而且生成安全日志的应用程序不能再访问存放在其他主机的日志。
3      Web编程安全规范
 3.1      输入校验   
3.2      上传可以配置校验规则，避免不合适的文件上传。
3.3      异常处理
规则4.4.1：应用程序出现异常时，禁止向客户端暴露不必要的信息，只能向客户端返回一般性的错误提示消息。
说明：应用程序出现异常时，禁止将数据库版本、数据库结构、操作系统版本、堆栈跟踪、文件名和路径信息、SQL 查询字符串等对攻击者有用的信息返回给客户端。建议重定向到一个统一、默认的错误提示页面，进行信息过滤。
规则4.4.2：应用程序捕获异常，并在日志中记录详细的错误信息。
说明：记录详细的错误消息，可供入侵检测及问题定位。