業務功能安全點注意事項2
私信及反饋
1、常見XSS漏洞,防止措施,將特殊字符過濾。
2、使用白名單和黑名單結合。
文件管理
1、限制文件管理功能操作的目錄。
2、限制文件管理功能訪問權限。
3、禁止上傳特殊字符文件名的文件,利用文件名攻擊的案例[url]http://www.myhack58.com/Article/html/3/7/2016/73694.htm[/url]。
安全體系建議:
1、密碼複雜度提升
a、禁止使用弱口令。
b、強制密碼使用8位以上的"大小寫字母+數組+特殊字符"的組合。
c、禁止用戶名和密碼存在較大的相似度。
2、普通用戶和業務用戶分表
3、後臺地址隱藏
4、密碼加密,比如爲密碼加一個複雜的固定字符串,再進行md5或者sha1,這樣黑客即使拿到用戶的密文密碼也很難反推出用戶的真實密碼。
5、登錄限制,登錄IP,雙因素驗證。
6、API站庫分離(訪問數據只能通過API服務器,API服務器對接口調用情況進行監控,設置閥值)。
7、敏感操作多因素驗證。
1、常見XSS漏洞,防止措施,將特殊字符過濾。
2、使用白名單和黑名單結合。
文件管理
1、限制文件管理功能操作的目錄。
2、限制文件管理功能訪問權限。
3、禁止上傳特殊字符文件名的文件,利用文件名攻擊的案例[url]http://www.myhack58.com/Article/html/3/7/2016/73694.htm[/url]。
安全體系建議:
1、密碼複雜度提升
a、禁止使用弱口令。
b、強制密碼使用8位以上的"大小寫字母+數組+特殊字符"的組合。
c、禁止用戶名和密碼存在較大的相似度。
2、普通用戶和業務用戶分表
3、後臺地址隱藏
4、密碼加密,比如爲密碼加一個複雜的固定字符串,再進行md5或者sha1,這樣黑客即使拿到用戶的密文密碼也很難反推出用戶的真實密碼。
5、登錄限制,登錄IP,雙因素驗證。
6、API站庫分離(訪問數據只能通過API服務器,API服務器對接口調用情況進行監控,設置閥值)。
7、敏感操作多因素驗證。
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章
K8s 安全指南
Andrew Zola
2021-12-17 17:58:58
中國卓越技術團隊訪談錄(2021年第六季)
InfoQ 中文站
2021-12-15 08:03:56
廣發證券攜手HarmonyOS打造智慧金融服務|HDC2021技術分論壇
HarmonyOS开发者社区
2021-12-14 13:34:05
被美國列入投資黑名單,商湯科技緊急迴應;傳19家互聯網大廠裁員;Log4j 爆“核彈級”漏洞,波及Flink等十餘個項目 | AI一週資訊
刘燕
2021-12-12 13:38:54
突發!Log4j 爆“核彈級”漏洞,Flink、Kafka等至少十多個項目受影響
褚杏娟
2021-12-10 14:08:51
蘋果研究人員提出集成反演技術,可從不同機器學習模型中重建訓練數據
Nitish Kumar
2021-12-07 10:28:54
2021 專業人士 Linux 系統 TOP 5
辛晓亮
2021-12-06 10:13:57
請不起日薪2萬+的網絡安全人才,就做不好數字化轉型嗎?
李冬梅
2021-12-02 14:13:53
架構師們,請收好這份多雲架構指南
Molly Clancy
2021-11-30 15:18:57
雲計算成 2022 年最重要技術之一
辛晓亮
2021-11-29 16:13:59
騰訊朱雀實驗室推出Deep Puzzling,利用AI技術進行代碼防護
凌敏
2021-11-29 16:13:59
低代碼開發會帶來安全問題和數據泄露隱患嗎?
The Hosk
2021-11-24 10:03:54
WhatsApp是如何實現端到端加密備份的?
Slavik Krassovsky
2021-11-19 09:58:52
騰訊朱雀實驗室推出“隱形”水印,助力打擊AI模型盜取行爲
InfoQ编辑部
2021-11-12 16:13:56