华为web应用安全开发规范考试

DKBA

华为技术有限公司内部技术规范 DKBA 1606-XXXX.X

Web应用安全开发规范 V1.5

2013年XX月XX日发布 2013年XX月XX日实施 华为技术有限公司

Huawei Technologies Co., Ltd.

版权所有侵权必究 All rights reserved

修订声明Revision declaration 本规范拟制与解释部门：

网络安全能力中心&电信软件与核心网网络安全工程部 本规范的相关系列规范或文件： 《C&C++语言安全编程规范》《Java语言安全编程规范》 相关国际规范或文件一致性： 无

替代或作废的其它规范或文件： 无

相关规范或文件的相互关系：

《产品网络安全红线》和《电信软件与核心网业务部安全能力基线》中的Web安全要求引用了本规范的内容，如果存在冲突，以本规范为准。

规范号 主要起草部门专家 主要评审部门专家 修订情况

DKBA 1606-2007.4 安全解决方案：赵武42873，杨光磊57125，万振华55108 软件公司设计管理部：刘茂征11000，刘高峰63564，何伟祥33428 安全解决方案：刘海军12014，吴宇翔18

DKBA

华为技术有限公司内部技术规范 DKBA 1606-XXXX.X

Web应用安全开发规范 V1.5

2013年XX月XX日发布 2013年XX月XX日实施 华为技术有限公司

Huawei Technologies Co., Ltd.

版权所有侵权必究 All rights reserved

修订声明Revision declaration 本规范拟制与解释部门：

网络安全能力中心&电信软件与核心网网络安全工程部 本规范的相关系列规范或文件： 《C&C++语言安全编程规范》《Java语言安全编程规范》 相关国际规范或文件一致性： 无

替代或作废的其它规范或文件： 无

相关规范或文件的相互关系：

《产品网络安全红线》和《电信软件与核心网业务部安全能力基线》中的Web安全要求引用了本规范的内容，如果存在冲突，以本规范为准。

规范号 主要起草部门专家 主要评审部门专家 修订情况

DKBA 1606-2007.4 安全解决方案：赵武42873，杨光磊57125，万振华55108 软件公司设计管理部：刘茂征11000，刘高峰63564，何伟祥33428 安全解决方案：刘海军12014，吴宇翔18

应用系统安全开发技术规范

（版本号 V1.3）

朗新科技股份有限公司 二〇一五年十二月

更改履历

更改的 版本号 0.5 1.0 1.1 1.2 1.3 修改编号 更改时间 图表和章节号 2013-11-24 2015-11-19 2015-11-30 2015-12-3 2015-12-3 初稿 修改 修改 修改 修改 施伟 宋月欣 宋月欣 宋月欣 施伟 施伟 陈志明 陈志明 施伟 更改简要描述 更改人 批准人 注：更改人除形成初稿，以后每次修改在未批准确认前均需采用修订的方式进行修改。

目录

1 2

背景与目标 ............................................................................................................... 1 安全编程概念 .....................................

移动应用开发安全规范

1、数据保存规范

1.1、所有敏感信息不要保存到外部存储中 1.2、S1级别的敏感信息不能在客户端保存 1.3、S2级敏感数据必须加密保存

（1）、采取权威的主流加密算法（如DES、AES、RSA等） （2）、选取秘钥的长度必须足够长，以便满足安全性要求。

（3）、加密算法的实现方法，必须采用操作系统官方提供的接口，或是各语言标准算法库提供的函数。

（4）、严禁自己设计、实现机密算法

注：敏感数据定义详见《10. 敏感数据定义安全规范》一节

2、网络传输规范

客户端与服务端之间通信的网络是不可信的，包括运营商网络和wifi无线网络。

2.1、认证授权相关网络传输安全规范

登录、注册、密码找回等属于认证授权环节的网络传输需要使用https协议

传输。

2.3、敏感数据传输需要使用https协议

敏感数据定义详见《10. 敏感数据定义安全规范》一节

2.3、服务端的证书必须由权威的CA机关提供

服务端不能采用自签名的方式提供证书，客户端需要实现验证服务端证书合

法性的功能。

2.4、采用其他加密算法进行传输加密的规范

不建议使用

对于无法采用https协议进行加密通信的场景，需要使用其他加密通信方案（1）、采取权威的主流

云南大学软件学院期末课程报告

Final Course Report

School of Software, Yunnan University

个人成绩

序号 1

学号 姓名 成绩 学 期： 2014秋季学期 课程名称: Web技术及应用开发实践 任课教师: 李 浩 大作业题目: 新闻发布系统 组 长 : 联系电话: 电子邮件:

完成提交时间：2015年 1月 6 日 作业截止时间：2015年 1月 6日

年级：

指标内容 分值 指标内涵及评估标准 A B C 构思 （C, 20分） 意义重大 意义较大 意义一般,属于简单的开发 D 得 分 选题意义 10 无意义 技术路线的可合理可行 10 合理可行,具体 基本合理可行 不够合理 行程度 具体且有创新 设计 （D, 20分） 设计内容 10 内容非常丰富 内容较丰富 内容一般 内容欠缺 解决的关键技准确，范围合适 10 术问题 重点突出

DKBA

DKBA 2355-2009.7

www.2cto.com 红黑联盟收集整理

Web应用安全测试规范V1.2

2009年7月5日发布 2009年7月5日实施

版权所有 侵权必究 All rights reserved

文档名称

文档密级

修订声明Revision declaration

本规范拟制与解释部门：

安全解决方案部电信网络与业务安全实验室、软件公司安全TMG、软件公司测试业务管理部

本规范的相关系列规范或文件：

《Web应用安全开发规范》 相关国际规范或文件一致性：

《OWASP Testing Guide v3》

《信息安全技术信息安全风险评估指南》

《Information technology Security techniques Management of information and communications technology security》－ISO 13335 替代或作废的其它规范或文件：

无

相关规范或文件的相互关系：

本规范以《Web应用安全开发规范》为基础、结合Web应用的特点而制定。 版本号 V1.1 V1.2 主要起草部门专家 主要评审部门专家 增加Web Serv

DKBA

DKBA 2355-2009.7

www.2cto.com 红黑联盟收集整理

Web应用安全测试规范V1.2

2009年7月5日发布 2009年7月5日实施

版权所有 侵权必究 All rights reserved

文档名称

文档密级

修订声明Revision declaration

本规范拟制与解释部门：

安全解决方案部电信网络与业务安全实验室、软件公司安全TMG、软件公司测试业务管理部

本规范的相关系列规范或文件：

《Web应用安全开发规范》 相关国际规范或文件一致性：

《OWASP Testing Guide v3》

《信息安全技术信息安全风险评估指南》

《Information technology Security techniques Management of information and communications technology security》－ISO 13335 替代或作废的其它规范或文件：

无

相关规范或文件的相互关系：

本规范以《Web应用安全开发规范》为基础、结合Web应用的特点而制定。 版本号 V1.1 V1.2 主要起草部门专家 主要评审部门专家 增加Web Serv

最近开始着手网站的改版，因为是团队协作，所有需要注意很多地方，也为了让我们的代码更加规范特收集了一些Web前端开发规范

规范目的

为提高团队协作效率,便于后台人员添加功能及前端后期优化维护,输出高质量的文档,特制订此文档.本规范文档一经确认,前端开发人员必须按本文档规范进行前台页面开发.本文档如有不对或者不合适的地方请及时提出,经讨论决定后方可更改.

基本准则

符合web标准,语义化html,结构表现行为分离,兼容性优良.页面性能方面,代码要求简洁明了有序,尽可能的减小服务器负载,保证最快的解析速度.

文件规范

1.html,css,js,images文件均归档至<系统开发规范>约定的目录中;

2.html文件命名:英文命名,后缀.htm.同时将对应界面稿放于同目录中,若界面稿命名为中文,请重命名与html文件同名,以方便后端添加功能时查找对应页面;

3.css文件命名:英文命名,后缀.css.共用base.css,首页

index.css,其他页面依实际模块需求命名.;

4.Js文件命名:英文命名,后缀.js.共用common.js,其他依实际模块需求命名.

html书写规范

1.文档类型声明及编码:统一为html5声明类型

《WEB应用开发》复习题

(一)

1.在对SQL Server 数据库操作时应选用（a）。 a)SQL Server .NET Framework 数据提供程序； b)OLE DB .NET Framework 数据提供程序； c)ODBC .NET Framework 数据提供程序； d)Oracle .NET Framework数据提供程序； 2.下列选项中，（c）是引用类型。 a)enum类型 b)struct类型 c)string类型 d)int类型

3.关于ASP.NET中的代码隐藏文件的描述正确的是（a）

a)Web窗体页的程序的逻辑由代码组成，这些代码的创建用于与窗体交互。编程逻辑唯一与用户界面不同的文件中。该文件称作为“代码隐藏”文件，如果用C＃创建，该文件将具有“.ascx.cs”扩展名。

b)项目中所有Web窗体页的代码隐藏文件都被编译成.EXE文件。

c)项目中所有的Web窗体页的代码隐藏文件都被编译成项目动态链接库（.dll）文件。

d)以上都不正确。

4.以下描述错误的是（a）

a)在C++中支持抽象类而在C#中不支持抽象类。

b)C++中可在头文件中声明类的成员而在CPP文件中定义类的成员，在C#中没有头文件并且在

应用ASP.NET开发web应用程序的过程中,安全性是要考虑的关键问题,本文从程序开发的几个阶段详细阐述安全策略的实现,总结如何利用ASP.NET的安全机制、数据库安全控制、增强管理员网络安全防范意识,从而极大提高Web应用程序的安全性能。

维普资讯

5 2

采

油工

程

应用 A P N T开发 We S. E b程序中的安全策略黄丽英(大庆石油管理局钻探集团钻井生产技术服务公司)

摘要：应用 A P N T开发 We应用程序的过程中，安全性是要考虑的关键问题，本文从程序开发的 S. E b几个阶段详细阐述安全策略的实现，总结如何利用 A P N T的安全机制、数据库安全控制、增强管 S. E理员网络安全防范意识，从而极大提高 We用程序的安全性能。 b应关键词：We b应用程序；认证和授权

A P N T可以非常方便和高效地规划、设计、 S. E 开发和发布 We b网络应用程序。安全问题是所有开发人员开发 We b网络应用程序所必须面对的问题。

报表，开始考虑用 A P N T的数据控件 R pa r S. E eet, e可以自由定义灵活的显示方式，但通常比较麻烦，而

且在代码中字段名要出现，即：使用数据容器 C n o— tnrD t t (