/catalog/296695a3fdd74f71b4ced1996c9b6856//Document/380625301606469.html/Document/376028059926597.html/Document/374587749163077.html/Document/374252417724485.html/Document/373905092177989.html/Document/373540837523525.html/Document/373226847809605.html/Document/311601443917893.html/Document/311285189517381.html/Document/310134890274885.html/Document/309794452426821.html/Document/309507604934725.html/Document/304898482892869.html/Document/304549706600517.html/Document/304188584996933.html/Document/303818784497733.html/Document/302700517105733.html/Document/302416475320389.html/Document/302077848256581.html/Document/301288627347525.html/Document/300279638184005.html/Document/274792263872581.html/Document/273024381308997.html/Document/272683642789957.html/Document/272351623921733.html/Document/271961406242885.html/Document/271560844214341.html/Document/270477420015685.html/Document/269881559916613.html/catalog/c51244b85e704db9a2a34ca396e9fe27//Document/375674108960837.html/Document/340619525128261.html/Document/340263572500549.html/Document/337103780888645.html/Document/336726028042309.html/Document/336395351863365.html/Document/336019384291397.html/Document/334605603291205.html/Document/334264344903749.html/Document/333908786077765.html/Document/333537608929349.html/Document/332422937043013.html/Document/323979240091717.html/Document/323624591507525.html/Document/322518056206405.html/Document/322224629981253.html/Document/321870777405509.html/Document/321154810175557.html/Document/319738524639301.html/Document/319395521761349.html/Document/319038449188933.html/Document/318684198744133.html/Document/317575537291333.html/Document/316584392339525.html/Document/297463116619845.html/Document/296410729726021.html/Document/294281412902981.html/Document/289614801383493.html/Document/289336711553093.html/Document/288989717336133.html/Document/267736666357829.html

安全测试国家标准解读——网络传输

下面的系列文章主要围绕《GB/T 38674—2020 信息安全技术 应用软件安全编程指南》进行讲解,该标准是2020年4月28日,由国家市场监督管理总局、国家标准化管理委员会发布,2020年11月01日开始实施。我们对该标准中一些常见的漏洞进行了梳理,大家感兴趣的话可以自己去下载下来学习一下,里面有一些最佳实践是比较好的。

 

本标准从程序安全和环境安全两个方面提出了提升应用安全性的编程最佳实践。其中,程序安全部分描述软件在资源使用、代码实现、安全功能方面的安全性规范,环境安全部分描述软件的安全管理配置规范。前面的文章为大家讲解了程序安全和代码安全,本文我们针对资源使用安全的网络传输部分进行解读。

软件安全测试工具

资源使用安全,主要包括:资源管理  、内存管理 、数据库管理 、文件管理 、网络传输这几部分。

软件安全测试工具

【网络传输】

1、使用加密传输确保通信安全
(1)采用加密传输方式保护敏感信息,特别是要求身份鉴别的数据内容,与外部系统交换的数据内容等。
(2)宜使用配合合理的单一标准TLS或SSL对连接保护,并支持对敏感文件或非基于HTTP连接的不连续加密。
(3)避免没有成功的TLS连接后退为一个不安全的连接。
(4)为在TLS连接上传输的cookie设置“安全”属性。
2.会话安全
(1)使用服务器或者框架的会话管理机制,只识别有效的会话标志符。
(2)确保会话标识符的随机性。
(3)建议在账户登出后完全终止相关的会话或连接。
(4)在平衡风险和业务功能需求基础上,最小化会话超时时间。
(5)如果一个会话在登录以前就建立,在成功登录以后,宜关闭该会话并创建一个新的会话。
(6)任何重新进行身份鉴别的过程,宜建议一个新的会话标识。
(7)不允许统一用户ID的并发登录。
网络传输安全主要分为两个方面,一个是传输通道的安全,现在一般都是用HTTPS传输,但是对于一些敏感信息还是需要再次进行加密的。另外一方面就是会话安全,我们在访问一个系统的时候建立一个会话,这个会话怎么来保护它?包括会话的生成机制,怎么生成一个会话,会话使用过程中会话时间是多长,会话超时时间应该怎么设置,会话结束后怎么释放等等都需要考虑。

比如说我们生成一个session,我们登上去以后,要产生一个新的身份标识,我们退出的时候,要让这个session过期。长时间不使用的话要设置一个会话超时时间。