GB/T 39412-2020 信息安全技術 代碼安全審計規范8.5
8.5.1 端口多重綁定
審計指標:不應對同一端口進行多重綁定。
審計人員應檢查代碼是否有多個套接字綁定到相同端口,從而導致該端口上的服務有被盜用或被欺騙的風險。
8.5.2 對網絡消息容量的控制
審計指標:宜避免對網絡消息容量的控制不充分。
審計人員宜檢查代碼是否控制網絡傳輸流量不超過被允許的值。如果代碼沒有機制來跟蹤流量傳輸,系統或應用程序會很容易被濫用于傳輸大流量(超過了請求值或客戶端被允許的值),從而帶來拒絕服務的安全風險。
8.5.3 字節序使用
審計指標:應避免字節序使用不一致性。
審計人員應檢查代碼在跨平臺或網絡通信處理輸人時是否考慮到字節順序,避免字節序使用不一致。
不能正確處理字節順序問題,可能會導致不可預期的程序行為。
8.5.4 通信安全
審計指標:應采用加密傳輸方式保護敏感數據。
審計人員應檢查代碼是否實現了對網絡通信中敏感數據進行加密傳輸,特別是身份鑒別信息、重要信息等。
8.5.5 會話過期機制缺失
審計指標:宜制定會話過期機制。
審計人員宜檢查代碼中會話過程是否存在會話過期機制,如結果為否定,則提示代碼存在保護機制被繞過的風險。規范/不規范代碼示例參見B.4.6。
8.5.6 會話標識符
審計指標:宜確保會話標識符的隨機性。
審計人員宜檢查代碼中會話標識符是否具有隨機性,防止會話標識符被窮舉造成安全風險。
