業務功能安全點注意事項2

私信及反饋
1、常見XSS漏洞，防止措施，將特殊字符過濾。
2、使用白名單和黑名單結合。

文件管理
1、限制文件管理功能操作的目錄。
2、限制文件管理功能訪問權限。
3、禁止上傳特殊字符文件名的文件，利用文件名攻擊的案例[url]http://www.myhack58.com/Article/html/3/7/2016/73694.htm[/url]。


安全體系建議：
1、密碼複雜度提升
a、禁止使用弱口令。
b、強制密碼使用8位以上的"大小寫字母+數組+特殊字符"的組合。
c、禁止用戶名和密碼存在較大的相似度。
2、普通用戶和業務用戶分表
3、後臺地址隱藏
4、密碼加密，比如爲密碼加一個複雜的固定字符串，再進行md5或者sha1，這樣黑客即使拿到用戶的密文密碼也很難反推出用戶的真實密碼。
5、登錄限制，登錄IP，雙因素驗證。
6、API站庫分離（訪問數據只能通過API服務器，API服務器對接口調用情況進行監控，設置閥值）。
7、敏感操作多因素驗證。