xiaoyuwei
- 浏览: 105523 次
- 性别:
- 来自: 死亡坟墓
-
文章列表
规则3.6.4:对日志模块占用资源必须有相应的限制机制。
说明:限制日志模块占用的资源,以防止如自动的恶意登陆尝试导致的资源枯竭类DOS攻击;比如限制日志记录占用的磁盘空间。
建议3.6.1:安全日志应该有备份及清理机制。
说明:备份及清理机制包括定期备份及清理安全日志和监控用于存放安全日志的磁盘空间的使用情况。可以配置定期备份及清理的时间,可以配置以用于存放安全日志的磁盘空间使用率达到多少时进行备份及清理。
建议3.6.2:通过网络形式保存安全日志。
说明:在生成安全日志时,即时将日志保存到网络上其他主机,而且生成安全日志的应用程序不能再访问存放在其他主机的日志。
3 W ...
规则3.5.3.2:在客户端和服务器间传递敏感数据时,必须使用带服务器端证书的SSL。
说明:如果在客户端和服务器间传递如帐号、口令等敏感数据,必须使用带服务器端证书的SSL。由于SSL对服务端的CPU资源消耗很大,实施时必须考虑服务器的承受能力。
2.6 安全审计
本节的安全审计是针对Web业务应用,不包括对操作系统、Web容器的安全审计。对于操作系统和Web容器的安全审计,可以参考对应的操作系统安全基线和Web安全配置规范。
规则3.6.1:应用服务器必须对安全事件及操作事件进行日志记录。
说明:安全事件包括登录、注销、添加、删除、修改用户、授权、取消权限、鉴权、修改用户 ...
场景 2:后台服务端保存用户的登录口令
// SHA512, 用户表中存放的密码是采用SHA512算法加密的,业务如果有自己的用户表,则也需要调用平台的加密API进行加密存储。请参考平台的加解密API文档。
规则3.5.2.6:禁止在日志中记录敏感数据。
// 禁止在日志中记录敏感数据(如口令、会话标识jsessionid等), 防止敏感信息泄漏。
// 在日志中可配置过滤敏感字符,在调用时,可应用这些过滤规则,以*代替不小心打印出来的敏感数据。比如DAS日志接口打印的调测日志和跟踪日志,可能会包含个人身份、信用卡等信息。
在sensitivewords.properties文件中配置 ...
规则3.4.4:对于运行应用程序的操作系统帐号,不应使用“root”、“administrator”、“supervisor”等特权帐号或高级别权限帐号,应该尽可能地使用低级别权限的操作系统帐号。
规则3.4.5:对于应用程序连接数据库服务器的数据库帐号,在满足业务需求的前提下,必须使用最低级别权限的数据库帐号。
说明:根据业务系统要求,创建相应的数据库帐号,并授予必需的数据库权限。不能使用“sa”、“sysman”等管理帐号或高级别权限帐号。
2.5 敏感数据保护
2.5.1 敏感数据定义
敏感数据包括但不限于:口令、密钥、证书、会话标识、License、隐私数据(如短消 ...
二、对于系统的操作员和管理员或CP/SP的URL请求进行鉴权相对复杂,可以参考:
1、通过XML文件,以正则表达式定义各种URL对应的访问控制权限位,请参考:
2、创建系统权限表,根据问控制列表AccessControlList.xml中定义的权限来导入权限数据。
3、在为角色分配权限时,如果角色拥有某权限,则对应的权限位为1,否则为0。如果系统总共有26项权限,则最终得到一个长度26的字符串(由0和1组成)。
4、当操作员和管理员或CP/SP登陆时,根据其对应的角色,得到对应的权限字符串(比如10101100111000011010111001),保存到session对象中。
5、部 ...
2.2.2 认证
规则3.2.2.10:对于重要的交易事务(如转账、余额转移、充值等)要进行重新认证,以防范会话劫持和跨站请求伪造给用户带来损失。
说明:重新认证,比如让用户重新输入口令,或者让用户输入一次性动态密码(动态密码卡或者短信随机密码)。
建议3.2.2.1:管理页面建议实施强身份认证。
//用户登陆,支持用户在特定IP下才可登陆。即登陆用户IP黑白名单功能。
2.3 会话管理
规则3.3.6:必须设置会话超时机制,在超时过后必须要清除该会话信息。
说明:建议默认会话超时时间为10分钟。
2.4 权限管理
规则3.4.1:对于每一个需要授权访问的页面或servlet ...
web安全-口令策略2
- 博客分类:
- 最佳开发实践
10.refuseTime: 通过设置时间段来限制用户登录系统的时间。当用户在“refuseTime”中任意一个时间段之内时,用户不能登录系统。 示例:19:50:00~23:55:45
11.lockNoUseLongTime:当用户已经超出配置的时间间隔没有登录系统,该用户将被锁定 缺省值:60天
12.deleteLockLongTime:当已经锁定的用户超过配置的时间间隔没有解锁,该用户将被删除。缺省值:30天
13.isSingleLogin: 配置相同用户是否可以同时多次登录。 0:可以,1:不可以
14.isKickoffLogin:配置是否踢 ...
web安全-口令策略
- 博客分类:
- 最佳开发实践
1.area.max.level:支持的地域最大层次。
2.organization.max.level:支持的机构最大层次。
3.maxAuthFailedTimes:连续输入登录密码错误次数大于或等于本参数取值后,该用户无法登录系统,帐号或者IP地址被锁定。
被锁定的用户在一定时间后,可以自动被解锁或者由超级用户手动解锁。
超级用户(sysadmin)的帐号不会被锁定,但是如果连续输入登录密码错误次数超过本参数取值后,超级用户所在客户端的IP地址被锁定。 缺省值:5
4.autoLockPeriod:被锁定的时间超过该参数的取值后,帐号或 ...
Web部署要求
规则3.1.1:如果 Web 应用对 Internet 开放,Web服务器应当置于DMZ区,在Web服务器与Internet之间,Web服务器与内网之间应当有防火墙隔离,并设置合理的策略。
规则3.1.2:如果 Web 应用对 Internet 开放,Web服务器应该部署在其专用的服务器上,应避免将数据库服务器或其他核心应用与Web服务器部署在同一台主机上。
说明:Web服务器比较容易被攻击,如果数据库或核心应用与Web服务器部署在同一台主机,一旦Web服务器被攻陷,那么数据库和核心应用也就被攻击者掌控了。
规则3.1.4:Web站点的根目录必须安装在非系统卷中。
说明 ...
java 用ant进行zip解压
- 博客分类:
- 综合技术
利用ant进行zip解压,非常简单
import org.apache.tools.ant.Project;
import org.apache.tools.ant.taskdefs.Expand;
public void testUnZip() {
String unZipFile =
"F:/OMSInstall201108150953_windows_release/packages/sso.zip";
String saveZipFilePath = "D:/testzip&qu ...
# etc 启动
ETC_PATH=/etc/init.d
OMS_SIGN=oms.daemon.Launcher
check_started() {
count=`ps -ef | grep $OMSD | grep $OMS_SIGN | wc -l`
if [ $count -gt 0 ]; then
echo "$CAPTION is already running."
exit
fi
}
check_stopped() {
count=`ps -ef | grep $ ...
#!/bin/sh
SCRIPT="$0"
# 获取被连接的位置
TARGET=`ls -l $SCRIPT | awk 'BEGIN {FS="-> "}{print $2}'`
if [ "$TARGET" ]; then
SCRIPT=$TARGET
fi
SCRIPT_DIR=`dirname $SCRIPT`
# 获取文件名
SCRIPT_FILE=`basename $SCRIPT`
#切换到上层目录上
OLD=`pwd`
cd $SCRIPT_DIR/..
PWD=`pwd`
# ...
WikidPad
WikidPad是一款开源免费的wiki风格的树状笔记管理软件,基于Python,支持Windows、Mac、Linux等平台。WikidPad在国外尤其是开源社区拥有较大影响力。
ExecutorCompletionService是能够将多个任务并行同时处理,并将相应结果保存到队列里的并发类
public void TestExecutorCompletionService() throws Exception {
Executor defaultExecutor = Executors.newFixedThreadPool(10);
BlockingQueue queuePool = new BlockingQueuePool(8).getBlockingQueue();
;
ExecutorCompletionService ecs = n ...
项目中有些数据库表的数据由于相关业务的特殊性,不需要保留早期的数据,如一个月前的数据已经不需要了,放在那也没有意义,反而会影响到新数据的查询速度,这样就可以通过数据库转储来将以前的数据通过文件的方式来 ...