业务功能安全点注意事项2

私信及反馈
    1、常见XSS漏洞,防止措施,将特殊字符过滤。
    2、使用白名单和黑名单结合。

文件管理
    1、限制文件管理功能操作的目录。
    2、限制文件管理功能访问权限。
    3、禁止上传特殊字符文件名的文件,利用文件名攻击的案例 http://www.myhack58.com/Article/html/3/7/2016/73694.htm。


安全体系建议:
1、密码复杂度提升
       a、禁止使用弱口令。
       b、强制密码使用8位以上的"大小写字母+数组+特殊字符"的组合。
       c、禁止用户名和密码存在较大的相似度。
2、普通用户和业务用户分表
3、后台地址隐藏
4、密码加密,比如为密码加一个复杂的固定字符串,再进行md5或者sha1,这样黑客即使拿到用户的密文密码也很难反推出用户的真实密码。
5、登录限制,登录IP,双因素验证。
6、API站库分离(访问数据只能通过API服务器,API服务器对接口调用情况进行监控,设置阀值)。
7、敏感操作多因素验证。



   

你可能感兴趣的:(安全)