会话注销 注销功能应用于所有受身份验证保护的网页,用户会话注销登出后应立即清理会话相关信息,终止相关的会话连接
3.6 访问控制
说明 检查项
控制方法 将访问控制的逻辑代码与应用程序其他代码分开服务端根据会话标识来进行访问控制管理...控制管理 限制只有授权的用户才能访问受保护的URL、文件、服务、应用数据、配置、直接对象引用等
接口管理 限制只有授权的外部应用程序或接口才能访问受保护的本地程序或资源等
权限变更 当权限发生变更时,应记录日志...事件要求 日志一般会记录每个事件的发生时间、发出请求的IP地址和用户账户(如果已通过验证)。
日志保护 日志受到严格保护,避免未授权的读取或写入访问。...在多用户系统中创建文件时应指定合适的访问许可,以防止未授权的文件访问,共享目录中文件的读/写/可执行权限应该使用白名单机制,实现最小化授权。...数据访问检查 防止封装好的数据对象被未授权使用,设置合理的据缓存区大小以防止耗尽系统资源,
应用文件处理 应用程序运行过程中创建的文件,需设置问权限(读、写、可执行),临时文件使及时删除
5.2 运行环境