开放平台第三方应用安全开发指南
《开放平台第三方应用安全开发指南》给出常见开发场景下,帮助开发人员完善应用安全性的开发建议,同时也对常见的安全漏洞进行描述,并提供对应的修复方案。
1. 常见开发场景安全开发指南
1.1. 敏感信息使用场景
敏感信息指用户的 身份证号、银行卡号、手机号 等身份信息。重要敏感信息的脱敏规范如下。
身份证 | 显示前 1 位 + *(实际位数) + 后 1 位,如: 3****************3 |
银行卡 | 显示前 6 位 + *(实际位数) + 后 4 位,如:622575******1496 |
手机号 | 显示前 3 位 + **** + 后 2 位,如:137******50 |
1.1.1. 敏感信息用于展示的场景
-
原则:敏感信息的展示请严格按照脱敏规范进行脱敏
- 说明:脱敏的逻辑必须在服务端完成,不能使用 Javascript 在客户端进行脱敏,包括代码注释、隐藏域、url 参数、cookies 等处的数据也必须脱敏。
- 说明:不能使用可逆的编码/加密方式,如 base64 编码等代替脱敏规范。
- 说明:若敏感信息明文展示在应用中,没有按照脱敏规范完成脱敏。支付宝开放平台将有权暂停敏感数据相关接口的开放。
1.1.2. 敏感信息用于身份校验的场景
-
原则:不要直接将敏感信息的明文信息在客户端与服务端之间传递
- 说明:可以将敏感信息在服务端关联到用户标识 ID,在客户端保存用户标识 ID 并提交到服务端,服务端根据 ID 取出对应信息后进行校验。
1.2. HTML 页面渲染
-
原则:所有在页面渲染的敏感数据 (身份证、银行卡号、手机号) 必须进行脱敏
- 说明:参考章节 1.1.1. 敏感信息用于展示的场景
-
原则:禁止在 Cookie 中 明文写入 敏感数据
- 说明:参考章节 1.1.2. 敏感信息用于用于身份校验的场景
-
原则:禁止向 HTML 页面输出未经安全过滤或未正确转义的用户数据
- 说明:用户数据不仅仅包括用户正常数据,同时包括攻击者可修改,伪造的其他数据。
- 说明:参考章节 2.1 跨站脚本(XSS)漏洞
-
原则:HTML 页面动态输出 JSON、JavaScript 必须对其中的字符串值做 XSS 防御处理
- 说明:参考章节 2.1 跨站脚本(XSS)漏洞
-
原则:默认设置 HTTP Header 中的
HttpOnly
属性为 true- 说明:设置
HttpOnly
为 true,将可以禁止 JavaScript 读取页面 Cookie 信息,一定程度上防范 XSS 攻击。 - 说明:参考章节 2.1 跨站脚本(XSS)漏洞
- 说明:设置
-
原则:如果网站使用 HTTPS 协议,默认设置 HTTP Header 中的
secure
属性为 true- 说明:设置
secure
为 true,Cookie 信息将不会在 HTTP 连接中传输,一定程度上防范 XSS 攻击。 - 说明:参考章节 2.1 跨站脚本(XSS)漏洞
- 说明:设置
-
原则:服务器向响应 HTTP Header 写入用户输入数据时必须做 CRLF 过滤或者转义
- 说明:参考章节 2.3 HTTP Header 注入漏洞
1.3. 接口调用操作
-
原则:AJAX 接口必须执行 CSRF 过滤
- 说明:参考章节 2.2 CSRF 漏洞
-
原则:AJAX 接口输出 JSON 字符串禁止通过字符串拼接构造,且输出的 JSON 需要经过安全过滤
- 说明:参考章节 2.1 跨站脚本(XSS)漏洞
- 原则:AJAX 接口返回头必须设置
Content-Type
为application/json;charset=utf-8
1.4. 表单提交操作
-
原则:统一使用
POST
方式提交表单- 说明:Get 请求可以通过构造 img 等标签发起,造成 CSRF
- 说明:参考章节 2.2 CSRF 漏洞
-
原则:Form 表单提交必须执行 CSRF 过滤
- 说明:参考章节 2.2 CSRF 漏洞
-
原则:用户输入的富文本浏览器展示之前必须由服务器端做安全过滤
- 说明:参考章节 2.1 跨站脚本(XSS)漏洞
1.5. 数据库操作
- 原则:用户密码存储须加盐存储,各用户盐值不同
- 原则:若涉及证件号等敏感信息的存储,须使用 AES-128 算法加密存储
-
原则:编写的 SQL 必须预编译,不允许通过字符串拼接的方式合成
- 说明:部分特殊场景,必须通过拼接合成,则拼接的变量必须经过处理,只允许
[a-zA-Z0-9_-.]+
字符。 - 说明:参考章节 2.5 SQL 注入漏洞
- 说明:部分特殊场景,必须通过拼接合成,则拼接的变量必须经过处理,只允许
1.6. URL 重定向
- 原则:URL 重定向的目标地址必须执行白名单过滤
1.7. 跨域操作
1.7.1. JSONP 跨域
- 原则:JSONP 接口 Callback 必须验证有效性
-
原则:JSONP 接口输出 JSON 字符串禁止通过字符串拼接构造,且输出的 JSON 需要经过安全过滤
- 说明:参考章节 2.1 跨站脚本(XSS)漏洞
- 原则:JSONP 接口必须对 REFERER 进行白名单校验,或执行 CSRF 检查
- 原则:JSONP 接口返回头必须正确设置
Content-Type
为application/javascript;charset=utf-8
1.7.2. CORS 跨域
- 原则:支持 CORS 跨域的接口,返回头
Access-Control-Allow-Origin
必须使用白名单验证,禁止直接返回*
1.8. 文件上传与下载
-
原则:限制可下载文件所在的目录为预期范围,并通过指定文件编号的方式来定位待下载文件
- 说明:参考章节 2.4 目录遍历漏洞
- 说明:参考章节 2.6 文件下载漏洞
- 原则:保存上传文件的目录不提供直接访问
-
原则:对上传文件的大小和类型进行校验,定义上传文件类型白名单
- 说明:参考章节 2.7 文件上传漏洞
1.9. 加密与签名
不同场景使用的加密算法请参考下表。
加密场景 | AES128 |
摘要场景 | SHA256 |
签名场景 | RSA2048 |
2. 常见安全漏洞及修复方案
2.1 跨站脚本(XSS)漏洞
漏洞描述
跨站脚本攻击(Cross Site Scripting, XSS)发生在客户端,可被用于进行窃取隐私、钓鱼欺骗、偷取密码、传播恶意代码等攻击行为。 恶意的攻击者将对客户端有危害的代码放到服务器上作为一个网页内容, 使得其他网站用户在观看此网页时,这些代码注入到了用户的浏览器中执行,使用户受到攻击。一般而言,利用跨站脚本攻击,攻击者可窃会话 Cookie 从而窃取网站用户的隐私。
漏洞危害
- 钓鱼欺骗:最典型的就是利用目标网站的反射型跨站脚本漏洞将目标网站重定向到钓鱼网站,或者注入钓鱼 JavaScript 以监控目标网站的表单输入。
- 网站挂马:跨站时利用 IFrame 嵌入隐藏的恶意网站或者将被攻击者定向到恶意网站上,或者弹出恶意网站窗口等方式都可以进行挂马攻击。
- 身份盗用:Cookie 是用户对于特定网站的身份验证标志,XSS 可以盗取到用户的 Cookie,从而利用该 Cookie 盗取用户对该网站的操作权限。如果一个网站管理员用户 Cookie 被窃取,将会对网站引发巨大的危害。
- 盗取网站用户信息:当能够窃取到用户 Cookie 从而获取到用户身份时,攻击者可以获取到用户对网站的操作权限,从而查看用户隐私信息。
- 垃圾信息发送:比如在 SNS 社区中,利用 XSS 漏洞借用被攻击者的身份发送大量的垃圾信息给特定的目标群。
- 劫持用户 Web 行为:一些高级的 XSS 攻击甚至可以劫持用户的 Web 行为,监视用户的浏览历史,发送与接收的数据等等。
- XSS 蠕虫:XSS 蠕虫可以用来打广告、刷流量、挂马、恶作剧、破坏网上数据、实施 DDoS 攻击等。
解决方案
- 对参数做 html 转义过滤,要过滤的字符包括:单引号、双引号、大于号、小于号,& 符号,防止脚本执行。
- 在变量输出时进行 HTML ENCODE 处理。
2.2 CSRF 漏洞
漏洞描述
跨站请求伪造(Cross-Site Request Forgery, CSRF),恶意网站通过脚本向当前用户浏览器打开的其它页面的 URL 发起恶意请求,由于同一浏览器进程下 Cookie 可见性,导致用户身份被盗用,完成恶意网站脚本中指定的操作。
漏洞危害
- 信息泄露:如登录ID,隐私信息等。
- 恶意操作:如加好友,加购物车,删除数据等。
解决方案
CSRF漏洞修复方案主要思路有两类:
- 验证请求是信任页面发起,这类修复方案有:
- 在表单中填充一次性随机的 csrf token 防止攻击者伪造 form 表单进行 CSRF。同时将此串 token 置入 session,在后端再进行一次一致性校验。
- referer 验证。
- 验证请求是合法用户发起,这类修复方案有:
- 验证码
- 密码验证
- OTP 验证
2.3 HTTP Header 注入漏洞
漏洞描述
Web 程序代码中把用户提交的参数未做过滤就直接输出到 HTTP 响应头中,导致攻击者可以利用该漏洞来注入到 HTTP 响应头中实现攻击。
解决方案
- 对参数做合法性校验以及长度限制,谨慎的根据用户所传入参数做 HTTP 响应的 Header 设置。
- 在设置 HTTP 响应头时,过滤回车换行
%0d%0a、%0D%0A
字符。
2.4 目录遍历漏洞
漏洞描述
目录遍历是由于 Web 服务器或 Web 应用程序对用户输入文件名称的安全性验证不足而导致的一种安全漏洞,使得攻击者通过 HTTP 请求和利用一些特殊字符就可以绕过服务器的安全限制,访问任意受限的文件(可以是 Web 根目录以外的文件),甚至执行系统命令。
解决方案
- 严格检查文件路径参数,限制在指定的范围。
- 严格限制文件路径参数,不允许用户控制文件路径相关的参数,限定文件路径范围。
2.5 SQL 注入漏洞
漏洞描述
SQL 注入攻击(SQL Injection),被广泛用于非法获取网站控制权,是发生在应用程序的数据库层上的安全漏洞。 在设计不良的程序当中,忽略了对输入字符串中夹带的 SQL 指令的检查,那么这些夹带进去的指令就会被数据库误认为是正常的 SQL 指令而运行,从而使数据库受到攻击,可能导致数据被窃取、更改、删除,以及进一步导致网站被嵌入恶意代码、被植入后门程序等危害。
漏洞危害
- 机密数据被窃取
- 核心业务数据被篡改
- 网页被篡改
- 数据库所在服务器被攻击变为傀儡主机,甚至企业网被入侵
解决方案
- 所有的查询语句都使用数据库提供的参数化查询接口,参数化的语句使用参数而不是将用户输入变量嵌入到 SQL 语句中。
- 对进入数据库的特殊字符
'"\<>&*;
等进行转义处理,或编码转换。 - 确认每种数据的类型,比如数字型的数据就必须是数字,数据库中的存储字段必须对应为 int 型。
- 数据长度应该严格规定,能在一定程度上防止比较长的 SQL 注入语句无法正确执行。
- 网站每个数据层的编码统一,建议全部使用 UTF-8 编码,上下层编码不一致有可能导致一些过滤模型被绕过。
- 严格限制网站所用数据库账号的权限,给此用户仅提供能够满足其工作的权限,从而最大限度的减少注入攻击对数据库的危害。
- 避免网站显示 SQL 错误信息,比如类型错误、字段不匹配等,防止攻击者利用这些错误信息进行一些判断。
2.6 文件下载漏洞
漏洞描述
Web 应用程序在处理文件下载时,接受用户指定的路径和文件名进行下载,攻击者利用此漏洞来下载服务器的其它文件甚至任意文件(源代码、数据库甚至 passwd 等)。
解决方案
- 限制可下载文件所在的目录为预期范围。
- 通过指定文件编号的方式来定位待下载文件。
2.7 文件上传漏洞
漏洞描述
文件上传的 Web 程序未对文件类型和格式做合法性校验,导致攻击者可以上传 Webshell 或者非期望格式的文件。
解决方案
- 对上传文件的大小和类型进行校验,定义上传文件类型白名单。
- 保存上传文件的目录不提供直接访问。
相关推荐
应用开发安全指南是 IT 安全保障体系建设规范的一个组成部分,旨在指导应用系统设计人员、代码开发人员和安全检查管理人员进行应用安全开发的安全配置,以提高应用系统的安全防护能力。本指南阐述了不同开发环境和...
Web 应用程序开发安全指南为开发人员和结构设计人员提供了一系列有关 Web 应用程序开发的安全体系结构和设计指南,以帮助他们更好地理解 Web 应用程序开发的安全要求,提高 Web 应用程序的安全性,减少系统的安全...
《手机安全和可信应用开发指南:TrustZone与OP-TEE技术详解》这本书是关于网络空间安全技术的一本专著,由帅峰云、黄腾、宋洋三位作者编著。书中详细介绍了如何利用TrustZone技术和OP-TEE来保护智能手机、智能电视...
该规范中提供了Web应用安全开发指南,包括Web应用安全开发的流程、Web应用安全开发的工具、Web应用安全开发的测试等。这些指南旨在帮助开发者开发安全的Web应用。 相关国际规或文件 该规范中列出了相关国际规或...
根据提供的文件信息,以下是从标题、描述、标签和部分内容中提取的Android应用程序安全开发指南相关知识点。 《Android应用程序安全开发指南》由日本JSSA协会在2017年2月发布,是针对Android平台应用程序开发者的...
《OpenGL ES应用开发实践指南:Android卷》是一本系统的OpenGL三维游戏和动态壁纸开发指南。由资深Android开发专家根据OpenGLES2.0版本撰写,不仅系统地讲解了OpenGLES的核心概念、技术,以及Android的图形机制,还...
《OpenGL ES应用开发实践指南:Android卷》是一本系统的OpenGL三维游戏和动态壁纸开发指南。由资深Android开发专家根据OpenGLES2.0版本撰写,不仅系统地讲解了OpenGLES的核心概念、技术,以及Android的图形机制,还...
《电机应用开发实战指南—基于STM32》是一本介绍如何使用STM32微控制器进行电机控制应用开发的实战指南。本书由野火电子编写,旨在帮助读者通过实际案例深入理解电机控制的原理与实践。 书中首先介绍了电机的基本...
存取控制(2) 08-05-01 Windows2000 服务器端应用程序开发设计指南-存取控制(3) 08-05-01 Windows2000 服务器端应用程序开发设计指南-使用者环境 08-05-01 Windows2000 服务器端应用程序开发设计指南-安全连接(1) ...
**Borland InterBase 7.0 应用开发指南** Borland InterBase 7.0 是一款高效、轻量级的关系型数据库管理系统(RDBMS),由Borland公司开发,它以其高可用性、强大的性能和跨平台支持而闻名。这款数据库系统在20世纪...
该指南涵盖了从设计、编码到测试的整个软件生命周期的安全要求,并特别强调在不同开发环境和编码语言条件下的安全开发实践。 在【应用系统设计安全】部分,指南首先强调了在应用系统架构设计阶段的安全性,包括但不...
iPhone应用程序开发指南是iOS开发领域的专业参考书,为开发者提供在苹果的iOS平台上设计、开发和优化应用程序所需的工具和技术。在开发过程中,了解和掌握iPhone开发基础教程同样重要。本书及所提及的其他参考资料在...
iPanel_2.0应用开发指南是一份为WEB设计人员和开发人员提供指导的手册,以便他们能够开发出更适合在iPanel浏览器上运行的电视应用。以下是这份手册所涉及的详细知识点: 1. iPanel浏览器概述 iPanel浏览器是一款专...
《Delphi 6应用开发指南》是一本专为Delphi 6编程者设计的详尽教程,旨在帮助读者深入理解Delphi 6的特性和功能,从而高效地进行应用程序开发。Delphi是一款由Borland(后被Embarcadero Technologies收购)开发的...
### 信息安全技术应用软件安全编程指南 #### 一、引言与背景 随着信息技术的快速发展,应用软件在各个领域扮演着越来越重要的角色。然而,软件中存在的安全漏洞也日益成为不容忽视的问题。为了确保软件产品的安全...
《Tuxedo应用程序开发指南》深入探讨了BEA Tuxedo这一强大交易处理平台的应用程序开发流程,尤其针对客户端与服务端程序的构建、类型缓冲区的运用以及消息模式的实施进行了详尽的阐述。 ### 开发前的思考 在着手...
【应用开发安全指南】是中国电信为了提升IT应用系统的安全防护能力而制定的一份详细规范,旨在指导设计人员、开发人员和安全管理人员在软件生命周期中遵循的安全标准。这份指南结合了CTG-MBOSS IT的总体规范和其他...