私信及反馈
1、常见XSS漏洞,防止措施,将特殊字符过滤。
2、使用白名单和黑名单结合。
文件管理
1、限制文件管理功能操作的目录。
2、限制文件管理功能访问权限。
3、禁止上传特殊字符文件名的文件,利用文件名攻击的案例[url]http://www.myhack58.com/Article/html/3/7/2016/73694.htm[/url]。
安全体系建议:
1、密码复杂度提升
a、禁止使用弱口令。
b、强制密码使用8位以上的"大小写字母+数组+特殊字符"的组合。
c、禁止用户名和密码存在较大的相似度。
2、普通用户和业务用户分表
3、后台地址隐藏
4、密码加密,比如为密码加一个复杂的固定字符串,再进行md5或者sha1,这样黑客即使拿到用户的密文密码也很难反推出用户的真实密码。
5、登录限制,登录IP,双因素验证。
6、API站库分离(访问数据只能通过API服务器,API服务器对接口调用情况进行监控,设置阀值)。
7、敏感操作多因素验证。
业务功能安全点注意事项2
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章