安全小白成長記
2
信息安全等級高級測評師
CISP-PTE
安全小白成長記2
信息安全等級高級測評師
CISP-PTE
web安全中對錯誤日志處理時應遵循以下原則:
不要在錯誤響應中泄露敏感信息,包括系統的詳細信息、會話標識符或者賬號信息。使用錯誤處理以避免顯示調試或堆棧跟蹤信息,使用通用的錯誤消息并使用定制的錯誤頁面。
應用程序應當處理應用程序錯誤,并且不依賴服務器配置。當錯誤條件發生時,適當地清空分配的內存。在默認情況下,應當拒絕訪問與安全控制相關聯的錯誤處理邏輯。
所有的日志記錄控制應當在可信系統(比如,服務器)上執行,日志記錄控制應當支持記錄特定安全事件的成功或者失敗操作。確保日志記錄包含了重要的日志事件數據。
確保日志記錄中包含的不可信數據不會在查看界面或者軟件時以代碼的形式被執行。限制只有授權的個人才能訪問日志,不要在日志中保存敏感信息,包括不必要的系統詳細信息、會話標識符或密碼。
確保一個執行日志查詢分析機制的存在,記錄所有失敗的輸入驗證。記錄所有的身份驗證嘗試,特別是失敗的驗證,記錄所有失敗的訪問控制。記錄明顯的修改事件,包括對于狀態數據非期待的修改。
記錄連接無效或者已過期的會話令牌嘗試,記錄所有的系統例外。記錄所有的管理功能行為,包括對于安全配置的更改,記錄所有失敗的后端TLS鏈接和記錄加密模塊的錯誤,使用加密散列功能以驗證日志記錄的完整性。
推薦文章
