业务功能安全点注意事项2
私信及反馈
1、常见XSS漏洞,防止措施,将特殊字符过滤。
2、使用白名单和黑名单结合。
文件管理
1、限制文件管理功能操作的目录。
2、限制文件管理功能访问权限。
3、禁止上传特殊字符文件名的文件,利用文件名攻击的案例[url]http://www.myhack58.com/Article/html/3/7/2016/73694.htm[/url]。
安全体系建议:
1、密码复杂度提升
a、禁止使用弱口令。
b、强制密码使用8位以上的"大小写字母+数组+特殊字符"的组合。
c、禁止用户名和密码存在较大的相似度。
2、普通用户和业务用户分表
3、后台地址隐藏
4、密码加密,比如为密码加一个复杂的固定字符串,再进行md5或者sha1,这样黑客即使拿到用户的密文密码也很难反推出用户的真实密码。
5、登录限制,登录IP,双因素验证。
6、API站库分离(访问数据只能通过API服务器,API服务器对接口调用情况进行监控,设置阀值)。
7、敏感操作多因素验证。
1、常见XSS漏洞,防止措施,将特殊字符过滤。
2、使用白名单和黑名单结合。
文件管理
1、限制文件管理功能操作的目录。
2、限制文件管理功能访问权限。
3、禁止上传特殊字符文件名的文件,利用文件名攻击的案例[url]http://www.myhack58.com/Article/html/3/7/2016/73694.htm[/url]。
安全体系建议:
1、密码复杂度提升
a、禁止使用弱口令。
b、强制密码使用8位以上的"大小写字母+数组+特殊字符"的组合。
c、禁止用户名和密码存在较大的相似度。
2、普通用户和业务用户分表
3、后台地址隐藏
4、密码加密,比如为密码加一个复杂的固定字符串,再进行md5或者sha1,这样黑客即使拿到用户的密文密码也很难反推出用户的真实密码。
5、登录限制,登录IP,双因素验证。
6、API站库分离(访问数据只能通过API服务器,API服务器对接口调用情况进行监控,设置阀值)。
7、敏感操作多因素验证。
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章
K8s 安全指南
Andrew Zola
2021-12-17 17:58:58
中国卓越技术团队访谈录(2021年第六季)
InfoQ 中文站
2021-12-15 08:03:56
广发证券携手HarmonyOS打造智慧金融服务|HDC2021技术分论坛
HarmonyOS开发者社区
2021-12-14 13:34:05
被美国列入投资黑名单,商汤科技紧急回应;传19家互联网大厂裁员;Log4j 爆“核弹级”漏洞,波及Flink等十余个项目 | AI一周资讯
刘燕
2021-12-12 13:38:54
突发!Log4j 爆“核弹级”漏洞,Flink、Kafka等至少十多个项目受影响
褚杏娟
2021-12-10 14:08:51
苹果研究人员提出集成反演技术,可从不同机器学习模型中重建训练数据
Nitish Kumar
2021-12-07 10:28:54
2021 专业人士 Linux 系统 TOP 5
辛晓亮
2021-12-06 10:13:57
请不起日薪2万+的网络安全人才,就做不好数字化转型吗?
李冬梅
2021-12-02 14:13:53
架构师们,请收好这份多云架构指南
Molly Clancy
2021-11-30 15:18:57
云计算成 2022 年最重要技术之一
辛晓亮
2021-11-29 16:13:59
腾讯朱雀实验室推出Deep Puzzling,利用AI技术进行代码防护
凌敏
2021-11-29 16:13:59
低代码开发会带来安全问题和数据泄露隐患吗?
The Hosk
2021-11-24 10:03:54
WhatsApp是如何实现端到端加密备份的?
Slavik Krassovsky
2021-11-19 09:58:52
腾讯朱雀实验室推出“隐形”水印,助力打击AI模型盗取行为
InfoQ编辑部
2021-11-12 16:13:56