记录一下web应用的环境安全设计的问题,涉及操作系统、web容器、框架、组件、协议......
1,页面表单提交时后台token验证
2,HTTPS:服务端单向验证、双向验证(可使用自签名证书)
3,防刷新重登录,登录鉴权后加入重定向
4,登录使用强密码
5,提交表单使用验证码
6,HTTPOnly Cookies,防止JS脚本读取cookie
7,隐藏服务器信息(协议Server头)
8,登录后改变Session ID
9,提交表单时加密特定字段(无论POST还是GET)
10,禁止多点登录(同一ID同一时刻只能一个Session存在)
11,避免WEBAPP框架/组件漏洞(框架、组件更新至无漏洞版)
12,TLS/SSL版本限制,以及加密算法套件限制
13,HSTS
14,禁止特定HTTP请求方法,比如PUT/TRACE/HEAD/OPTIONS/DELETE
15,来源地址检查拦截(refer check)
16,隐藏WEB容器错误、调试信息页面,自定义错误页面
17,关闭WEB容器(Tomcat)特定用户,设定权限
18,关闭Tomcat显示网站目录
19,关闭非必需端口
20,加固特定端口访问密码
21,开启防火墙规则
22,数据库禁止远程访问
23,IP安全策略
……待续