@风铃
2年前 提问
1个回答
web安全中对错误日志处理时应遵循什么原则
安全小白成长记
2年前
web安全中对错误日志处理时应遵循以下原则:
不要在错误响应中泄露敏感信息,包括系统的详细信息、会话标识符或者账号信息。使用错误处理以避免显示调试或堆栈跟踪信息,使用通用的错误消息并使用定制的错误页面。
应用程序应当处理应用程序错误,并且不依赖服务器配置。当错误条件发生时,适当地清空分配的内存。在默认情况下,应当拒绝访问与安全控制相关联的错误处理逻辑。
所有的日志记录控制应当在可信系统(比如,服务器)上执行,日志记录控制应当支持记录特定安全事件的成功或者失败操作。确保日志记录包含了重要的日志事件数据。
确保日志记录中包含的不可信数据不会在查看界面或者软件时以代码的形式被执行。限制只有授权的个人才能访问日志,不要在日志中保存敏感信息,包括不必要的系统详细信息、会话标识符或密码。
确保一个执行日志查询分析机制的存在,记录所有失败的输入验证。记录所有的身份验证尝试,特别是失败的验证,记录所有失败的访问控制。记录明显的修改事件,包括对于状态数据非期待的修改。
记录连接无效或者已过期的会话令牌尝试,记录所有的系统例外。记录所有的管理功能行为,包括对于安全配置的更改,记录所有失败的后端TLS链接和记录加密模块的错误,使用加密散列功能以验证日志记录的完整性。