資訊專欄INFORMATION COLUMN
摘要:一背景團(tuán)隊(duì)最近頻繁遭受網(wǎng)絡(luò)攻擊,引起了技術(shù)負(fù)責(zé)人的重視,筆者在團(tuán)隊(duì)中相對(duì)來(lái)說(shuō)更懂安全,因此花了點(diǎn)時(shí)間編輯了一份安全開(kāi)發(fā)自檢清單,覺(jué)得應(yīng)該也有不少讀者有需要,所以將其分享出來(lái)。
一、背景
團(tuán)隊(duì)最近頻繁遭受網(wǎng)絡(luò)攻擊,引起了技術(shù)負(fù)責(zé)人的重視,筆者在團(tuán)隊(duì)中相對(duì)來(lái)說(shuō)更懂安全,因此花了點(diǎn)時(shí)間編輯了一份安全開(kāi)發(fā)自檢清單,覺(jué)得應(yīng)該也有不少讀者有需要,所以將其分享出來(lái)。
二、編碼安全 2.1 輸入驗(yàn)證| 說(shuō)明 | 檢查項(xiàng) |
|---|---|
| 概述 | 任何來(lái)自客戶端的數(shù)據(jù),如URL和參數(shù)、HTTP頭部、 Javascript戓其他嵌入代碼提交的信息,都屬于不可信數(shù)據(jù)。在應(yīng)用外部邊界或內(nèi)部每個(gè)組件或功能邊界,都將其當(dāng)做潛在的惡意輸入來(lái)校驗(yàn) |
| 白名單 | 不可信數(shù)據(jù)可以設(shè)定白名單校驗(yàn)的,應(yīng)接受所有和白名單匹配的數(shù)據(jù),并阻止其他數(shù)據(jù) |
| 黑名單 | 不可信數(shù)據(jù)中包含不良輸入字符時(shí),如空字節(jié)(%00)、換行符(%0d,%0a,r, n)、路徑字符(../ 或 ..)等,建議直接阻止該數(shù)據(jù),若需要接受該數(shù)據(jù),則應(yīng)做不同方式的凈化處理 |
| 規(guī)范化 | 不可信數(shù)據(jù)的凈化和校驗(yàn)前翯進(jìn)行規(guī)范化,如將目錄遍歷(./或)等相對(duì)路徑轉(zhuǎn)化成絕對(duì)路徑URL解碼等。 |
| 凈化 | 不可信數(shù)據(jù)需實(shí)施各種凈化處理時(shí),應(yīng)徹底刪除惡意字符,只留下已知安全的字符,或者在處理前對(duì)它們進(jìn)行適當(dāng)編碼或"轉(zhuǎn)義",如數(shù)據(jù)輸出到應(yīng)用頁(yè)面時(shí)對(duì)其進(jìn)行HTML編碼可防止腳本攻擊 |
| 合法性校驗(yàn) | 不可信數(shù)據(jù)的合法性校驗(yàn)包括:數(shù)據(jù)類型如字符.數(shù)字、日期等特征;數(shù)據(jù)范國(guó);數(shù)據(jù)長(zhǎng)度等 |
| 防范SQL注入 | 不可信數(shù)據(jù)進(jìn)入后端數(shù)據(jù)庫(kù)操作前,建議使用正角的參數(shù)化查詢來(lái)處理,避免出現(xiàn)SQL注入 |
| 文件校驗(yàn) | 不可信數(shù)據(jù)為解壓縮的文件時(shí),如果文件位于服務(wù)目錄外或文件大小超過(guò)限制,應(yīng)拒絕處理 |
| 訪問(wèn)控制 | 不可信數(shù)據(jù)通過(guò)上述校驗(yàn)后,還應(yīng)確認(rèn)所提交的內(nèi)容是否與用戶的身份匹配,避免越權(quán)訪問(wèn) |
| 說(shuō)明 | 檢查項(xiàng) | |
|---|---|---|
| 概述 | 考慮目標(biāo)編譯器的安全性,對(duì)所有輸出字符進(jìn)行正確編碼 | |
| 編碼場(chǎng)景 | 不可信數(shù)據(jù)輸出到前后端頁(yè)面時(shí),根據(jù)輸出場(chǎng)景對(duì)其進(jìn)行相關(guān)編碼,如HTML實(shí)體編碼、UR編碼 | |
| 凈化場(chǎng)景 | 針對(duì)操作系統(tǒng)命令、SQL和LDAP查詢,凈化所有輸出的敏感信息,如銀行卡、手機(jī)號(hào)、系統(tǒng)信息等 |
| 說(shuō)明 | 檢查項(xiàng) |
|---|---|
| 概述 | 用戶的輸入進(jìn)入應(yīng)用程序的SQL操作前,對(duì)輸入進(jìn)行合法性校驗(yàn)。 |
| 參數(shù)化處理 | 用參數(shù)化查詢(PHP用PDO,Java用 PreparedStatement,C#用 Sqlparameter)方法對(duì)敏感字符如"進(jìn)行轉(zhuǎn)義,然后再進(jìn)行SQL操作。 |
| 最小化授權(quán) | 為每個(gè)應(yīng)用配置最小化數(shù)據(jù)庫(kù)操作權(quán)限,禁止用管理員權(quán)限進(jìn)行數(shù)據(jù)庫(kù)操作,限制操作連接數(shù)。 |
| 敏感數(shù)據(jù)加密 | 敏感信息都采用了加密、哈希或混淆等方式進(jìn)行保密存儲(chǔ),降低可能漏洞帶來(lái)的數(shù)據(jù)泄露風(fēng)險(xiǎn). |
| 禁止錯(cuò)誤回顯 | 禁止系統(tǒng)開(kāi)啟 Debug模式或異常時(shí)返回包含敏感信息的提示,建議使用自定義的錯(cuò)誤信息模板異常信息應(yīng)存放在日志中用于安全審計(jì) |
| 說(shuō)明 | 檢查項(xiàng) |
|---|---|
| 輸入校驗(yàn) | 對(duì)輸入的數(shù)據(jù)進(jìn)行過(guò)濾和轉(zhuǎn)義,包含但不限于<>"9%0&+V"等危險(xiǎn)特殊字符 |
| 輸出編碼 | 輸入數(shù)據(jù)輸出到不同場(chǎng)景中進(jìn)行不同形式的編碼,如輸出到HTML標(biāo)簽中則進(jìn)行HTML編碼輸出到URL中則進(jìn)行URL編碼,輸出到JS中則行 Script編碼,輸出到 Stylet中則進(jìn)行CSs編碼 |
| 說(shuō)明 | 檢查項(xiàng) |
|---|---|
| 輸入校驗(yàn) | 在XML文檔內(nèi)部或外部引用數(shù)據(jù)時(shí),過(guò)濾用戶提交的參數(shù),如<、>&等特殊字符。禁止加載外部實(shí)體,禁止報(bào)錯(cuò) |
| 輸出編碼 | 建議對(duì)XML元素屬性或者內(nèi)容進(jìn)行輸出轉(zhuǎn)義 |
| 說(shuō)明 | 檢查項(xiàng) |
|---|---|
| Token使用 | 在重要操作的表單中增加會(huì)話生成的 Token字段次一用,提交后在服務(wù)端校驗(yàn)該字段 |
| 二次驗(yàn)證 | 在關(guān)鍵表單提交時(shí),要求用戶進(jìn)行二次身份驗(yàn)證如密碼、圖片驗(yàn)證碼、短信驗(yàn)證碼等 |
| Referer驗(yàn)證 | 檢驗(yàn)用戶請(qǐng)求中 Referer:字段是否存在跨域提交的情況 |
| 說(shuō)明 | 檢查項(xiàng) |
|---|---|
| 概述 | 所有對(duì)非公開(kāi)的網(wǎng)頁(yè)和資源的訪問(wèn),必須在后端服務(wù)上執(zhí)行標(biāo)準(zhǔn)的、通用的身份驗(yàn)證過(guò)程 |
| 提交憑證 | 用戶憑據(jù)必須經(jīng)過(guò)加密且以POST方式提交,建議用HTPS協(xié)議來(lái)加密通道、認(rèn)證服務(wù)端 |
| 錯(cuò)誤提示 | 安全地處理失敗的身份校驗(yàn),如使用"用戶名或密碼錯(cuò)誤"來(lái)提示失敗,防止泄露過(guò)多信息 |
| 異常處理 | 登錄入口應(yīng)具有防止暴力或撞庫(kù)猜解(利用已泄露的密碼字典進(jìn)行批量登錄嘗試)的措施,超過(guò)1次驗(yàn)證失敗自動(dòng)啟用圖靈測(cè)試,超過(guò)多次驗(yàn)證失敗自動(dòng)啟用賬戶鎖定機(jī)制限制其訪問(wèn) |
| 二次驗(yàn)證 | 在執(zhí)行關(guān)鍵操作(如賬戶密碼修改、資料更新、交易支付等)時(shí),先啟動(dòng)圖靈測(cè)試,再對(duì)用戶身份進(jìn)行二次驗(yàn)證。交易支付過(guò)程還應(yīng)該形成完整的證據(jù)鏈,待交易數(shù)據(jù)應(yīng)經(jīng)過(guò)發(fā)起方數(shù)字簽名 |
| 多因子驗(yàn)證 | 高度敏感或核心的業(yè)務(wù)系統(tǒng),建議使用多因子身份驗(yàn)證機(jī)制,如短信驗(yàn)證碼、軟硬件 Token等。 |
| 說(shuō)明 | 檢查項(xiàng) |
|---|---|
| 驗(yàn)證碼生成 | 復(fù)雜度至少6位數(shù)字或字母,一次一用,建議有效期不超過(guò)180秒。 |
| 驗(yàn)證碼限制 | 前后端設(shè)置用戶獲取頻率為60秒一次,建議每個(gè)用戶每天獲取的短信最多10條 |
| 安全提示 | 增加安全提示:至少含本次操作的功能、驗(yàn)證碼發(fā)送編號(hào)、是否是個(gè)人自己操作的風(fēng)險(xiǎn)等信息。 |
| 憑證校驗(yàn) | 禁止在響應(yīng)中返回驗(yàn)證碼,服務(wù)器端同時(shí)校驗(yàn)密碼、短信驗(yàn)證碼等憑證信息,防止出現(xiàn)多階段認(rèn)證繞過(guò)的漏洞。 |
| 說(shuō)明 | 檢查項(xiàng) |
|---|---|
| 驗(yàn)證碼生成 | 復(fù)雜度至少4位數(shù)字或字母,或者采用拼圖等驗(yàn)證方式,一次一用,建議有效期不超過(guò)180秒 |
| 驗(yàn)證碼使用 | 建議從用戶體驗(yàn)和安全角度出發(fā),可設(shè)計(jì)為當(dāng)用戶輸錯(cuò)1次密碼后自動(dòng)彈出驗(yàn)證碼輸入框驗(yàn)證 |
| 驗(yàn)證碼校驗(yàn) | 禁止在響應(yīng)中返回驗(yàn)證碼,驗(yàn)證碼校驗(yàn)應(yīng)在服務(wù)端進(jìn)行 |
| 說(shuō)明 | 檢查項(xiàng) |
|---|---|
| 密碼設(shè)置 | 密碼設(shè)置時(shí),應(yīng)該滿足8位及以上長(zhǎng)度,含大小寫(xiě)字母、數(shù)字及特殊字符等的要求。用戶密碼設(shè)置必須經(jīng)過(guò)后端驗(yàn),不允許設(shè)置不滿定復(fù)雜度要求的感密碼。 |
| 密碼存儲(chǔ) | 用戶密碼存儲(chǔ)時(shí),應(yīng)采用哈希算法(如SHA1)計(jì)算用戶密碼和唯一隨機(jī)鹽值(Salt)的摘要值保存其摘要和Sat值,建議分開(kāi)存儲(chǔ)這兩個(gè)值 |
| 密碼修改 | 用戶修改密碼時(shí),修改操作需要通過(guò)手機(jī)號(hào)或者郵箱地均進(jìn)行一次身份驗(yàn)證。密碼變更時(shí),應(yīng)短信或者郵件通知如用戶是否是本人操作,告知其安全風(fēng)險(xiǎn) |
| 密碼找回 | 用戶密碼找回時(shí),后端需要對(duì)注冊(cè)手機(jī)號(hào)或郵箱進(jìn)行二次驗(yàn)證,驗(yàn)證碼和驗(yàn)證鏈接應(yīng)發(fā)送至預(yù)先注冊(cè)的地址,并設(shè)置有效期以防止暴力破解。密保問(wèn)題,應(yīng)當(dāng)支持盡可能隨機(jī)的問(wèn)題提問(wèn)。在多個(gè)驗(yàn)證操作中,要對(duì)各驗(yàn)證機(jī)制進(jìn)行排序,以防出現(xiàn)跳過(guò)前面驗(yàn)證機(jī)制直接到最后步認(rèn)證的安全風(fēng)險(xiǎn) |
| 密碼使用 | 應(yīng)用開(kāi)發(fā)中禁止設(shè)置萬(wàn)能密碼、硬編碼明文的密 碼、使用數(shù)據(jù)庫(kù)管理員賬戶操作、不同用戶公用賬 戶操作或者將密碼輸出到日志文件或者控制臺(tái). |
| 說(shuō)明 | 檢查項(xiàng) |
|---|---|
| 防止會(huì)話劫持 | 在應(yīng)用程序進(jìn)行身份驗(yàn)證時(shí),建議持續(xù)使用HTTPS連接,認(rèn)證站點(diǎn)使用HTTPS協(xié)議。如果連接是從防止會(huì)話劫持HTTP跳轉(zhuǎn)到HTTPS,需要重新生成會(huì)話標(biāo)識(shí)符。禁止在HTTP和HTTPS之間來(lái)回轉(zhuǎn)換,這可能會(huì)導(dǎo)致會(huì)話被劫持 |
| 會(huì)話標(biāo)識(shí)符安全 | 設(shè)置會(huì)話 Cookie時(shí),正確設(shè)置" Httponly"屬性(禁止程序加5腳本等讀取 Cookie信息)" Secure"屬性(禁Cookie安全設(shè)置止Cookie通過(guò)HTTP連接傳遞到服務(wù)器端進(jìn)行驗(yàn)證);" Domain"屬性(跨域訪問(wèn)時(shí)可指定的授權(quán)訪問(wèn)域名),"Path"屬性(授權(quán)可訪問(wèn)的目錄路徑)。 |
| Cookie安全設(shè)置 | 會(huì)話標(biāo)識(shí)符應(yīng)放置在HTP或HTPS協(xié)議的頭信息安全中,禁止以GET參數(shù)進(jìn)行傳遞、在錯(cuò)誤信息和日志中記錄會(huì)話標(biāo)識(shí)符 |
| 防止CSRF攻擊 | 服務(wù)器端執(zhí)行了完整的會(huì)話管理機(jī)制,保證每個(gè)會(huì)防止CSRF話請(qǐng)求都執(zhí)行了合法的身份驗(yàn)證和權(quán)限控制,防止攻擊發(fā)生跨站點(diǎn)請(qǐng)求偽造(CSRF)漏洞。 |
| 會(huì)話有效期 | 會(huì)話應(yīng)在平衡風(fēng)險(xiǎn)和功能需求的基礎(chǔ)上設(shè)置有效期。定期生成一個(gè)新的會(huì)話標(biāo)識(shí)符并使上一個(gè)會(huì)話會(huì)話有效期標(biāo)識(shí)符失效,這可以緩解那些因原會(huì)活標(biāo)識(shí)符被盜而產(chǎn)生的會(huì)話劫持風(fēng)險(xiǎn)。 |
| 會(huì)話注銷(xiāo) | 注銷(xiāo)功能應(yīng)用于所有受身份驗(yàn)證保護(hù)的網(wǎng)頁(yè),用戶會(huì)話注銷(xiāo)登出后應(yīng)立即清理會(huì)話相關(guān)信息,終止相關(guān)的會(huì)話連接 |
| 說(shuō)明 | 檢查項(xiàng) |
|---|---|
| 控制方法 | 將訪問(wèn)控制的邏輯代碼與應(yīng)用程序其他代碼分開(kāi)服務(wù)端根據(jù)會(huì)話標(biāo)識(shí)來(lái)進(jìn)行訪問(wèn)控制管理。 |
| 控制管理 | 限制只有授權(quán)的用戶才能訪問(wèn)受保護(hù)的URL、文件、服務(wù)、應(yīng)用數(shù)據(jù)、配置、直接對(duì)象引用等 |
| 接口管理 | 限制只有授權(quán)的外部應(yīng)用程序或接口才能訪問(wèn)受保護(hù)的本地程序或資源等 |
| 權(quán)限變更 | 當(dāng)權(quán)限發(fā)生變更時(shí),應(yīng)記錄日志,并通知用戶是否是本人操作,告知存在的安全風(fēng)險(xiǎn) |
| 說(shuō)明 | 檢查項(xiàng) |
|---|---|
| 身份校驗(yàn) | 進(jìn)行文件上傳時(shí),在服務(wù)端對(duì)用戶的身份進(jìn)行合法性校驗(yàn) |
| 合法性校驗(yàn) | 進(jìn)行文件上傳時(shí),在服務(wù)端對(duì)文件屬性進(jìn)行合法性校驗(yàn),白名單形式檢查文檔類型(如文件的后緩名、文件頭信息校驗(yàn)等)和大小(圖片校驗(yàn)長(zhǎng)、寬和像素等)。 |
| 存儲(chǔ)環(huán)境設(shè)置 | 進(jìn)行文件保存時(shí),保存在與應(yīng)用環(huán)境獨(dú)立的文檔服務(wù)器中(配置獨(dú)立域名),保存的目錄權(quán)限應(yīng)設(shè)置為不可執(zhí)行 |
| 隱藏文件路徑 | 進(jìn)行文件保存時(shí),成功上傳的文件需要進(jìn)行隨機(jī)化重命名,禁止給客戶端返回保存的路徑信息。 |
| 文件訪問(wèn)設(shè)置 | 進(jìn)行文件下載時(shí),應(yīng)以二進(jìn)制形式下載,建議不提供直接訪問(wèn)(防止木馬文件直接執(zhí)行) |
| 說(shuō)明 | 檢查項(xiàng) |
|---|---|
| 網(wǎng)絡(luò)限制 | 調(diào)用方網(wǎng)絡(luò)限制,比如通過(guò)防火墻、主機(jī)host和Nginx deny等技術(shù)措施進(jìn)行校驗(yàn)。 |
| 身份認(rèn)證 | 調(diào)用方身份認(rèn)證,比如key、 secret、證書(shū)等技術(shù)措施進(jìn)行校驗(yàn),禁止共享憑證 |
| 完整性校驗(yàn) | 調(diào)用的數(shù)據(jù)安全,對(duì)全部參數(shù)使用SHA1等摘要運(yùn)算進(jìn)行數(shù)字簽名,識(shí)別數(shù)據(jù)被篡改 |
| 合法性校驗(yàn) | 調(diào)用的參數(shù)檢查,如參數(shù)是否完整,時(shí)間戳和Token是否有效,調(diào)用權(quán)限是否合法等 |
| 可用性要求 | 調(diào)用的服務(wù)要求,調(diào)用滿足等冪性即保持?jǐn)?shù)據(jù)一致性,對(duì)調(diào)用頻率和有效期進(jìn)行限制 |
| 異常處理 | 調(diào)用的異常處理,調(diào)用行為實(shí)時(shí)檢測(cè),發(fā)現(xiàn)異常及時(shí)阻攔 |
| 說(shuō)明 | 檢查項(xiàng) |
|---|---|
| 敏感信息傳輸 | 敏感信息傳輸時(shí),禁止在GET請(qǐng)求參數(shù)中包含敏感信息,如用戶名、密碼、卡號(hào)等。建議為所有敏感信息采用TSL加密傳輸。 |
| 客戶端保存 | 客戶端保存敏感信息時(shí),禁止其表單中的自動(dòng)填充功能、以明文形式保存敏感信息 |
| 服務(wù)端保存 | 服務(wù)端保存敏感信息時(shí),禁止在程序中硬編碼敏感信息,明文存儲(chǔ)用戶密碼、身份證號(hào)、銀行卡號(hào)、持卡人姓名等敏感信息,臨時(shí)寫(xiě)入內(nèi)存或文件中的敏感數(shù)據(jù),應(yīng)及時(shí)清除和釋放 |
| 敏感信息維護(hù) | 敏感信息維護(hù)時(shí),禁止將源碼或SQL庫(kù)上傳到開(kāi)源平臺(tái)或社區(qū),如 Github、開(kāi)源中國(guó)等。 |
| 敏感信息展示 | 敏感信息展示時(shí),如果是展示在web頁(yè)面上,應(yīng)在后端服務(wù)器上進(jìn)行敏感字段的脫敏處理。 |
| 說(shuō)明 | 檢查項(xiàng) |
|---|---|
| 記錄原則 | 確保日志記錄包含了重要的應(yīng)用事件,但禁止保存敏感信息,如會(huì)話標(biāo)識(shí),賬戶密碼、證件等 |
| 事件類型 | 記錄所有的身份驗(yàn)證、訪問(wèn)操作、數(shù)據(jù)變更、關(guān)鍵操作、管理功能、登出記錄等事件。 |
| 事件要求 | 日志一般會(huì)記錄每個(gè)事件的發(fā)生時(shí)間、發(fā)出請(qǐng)求的IP地址和用戶賬戶(如果已通過(guò)驗(yàn)證)。 |
| 日志保護(hù) | 日志受到嚴(yán)格保護(hù),避免未授權(quán)的讀取或?qū)懭朐L問(wèn)。 |
| 說(shuō)明 | 檢查項(xiàng) |
|---|---|
| 容錯(cuò)機(jī)制 | 在應(yīng)用實(shí)現(xiàn)時(shí)應(yīng)包含完整的功能異常捕獲機(jī)制如try-catch塊,典型位置:文件、網(wǎng)絡(luò)、數(shù)據(jù)庫(kù)、命令操作等。一旦出現(xiàn)異常,應(yīng)該在日志中完整記錄異常的發(fā)生時(shí)間、代碼位置、報(bào)錯(cuò)詳情、觸發(fā)錯(cuò)誤的可能用戶等,重要系統(tǒng)的嚴(yán)重異常應(yīng)該有報(bào)警的機(jī)制,及時(shí)通知系統(tǒng)運(yùn)營(yíng)者及時(shí)排查并修復(fù)題 |
| 自定義錯(cuò)誤信息 | 在生產(chǎn)環(huán)境下,應(yīng)用程序不應(yīng)在其響應(yīng)中返回任何系統(tǒng)生成的消息或其他調(diào)試信息,配置應(yīng)用服務(wù)器使其以自定義的方式處理無(wú)法處理的應(yīng)用程序錯(cuò)誤,返回自定義錯(cuò)誤信息 |
| 隱藏用戶信息 | 禁止在系統(tǒng)異常時(shí)泄露用戶的隱私信息,典型的有:身份信息、個(gè)人住址、電話號(hào)碼、銀行賬號(hào)、通訊記錄、定位信息等 |
| 隱藏系統(tǒng)信息 | 禁止在系統(tǒng)異常時(shí)泄露系統(tǒng)的敏感信息(用戶賬戶和密碼、系統(tǒng)開(kāi)發(fā)密鑰、系統(tǒng)源代碼、應(yīng)用架構(gòu)、系統(tǒng)賬戶和密碼、網(wǎng)絡(luò)拓?fù)涞?。 |
| 異常狀態(tài)恢復(fù) | 方法發(fā)生異常時(shí)要恢復(fù)到之前的對(duì)象狀態(tài),如業(yè)務(wù)操作失敗時(shí)的回滾操作等,對(duì)象修改失敗時(shí)要恢復(fù)對(duì)象原來(lái)的狀態(tài),維持對(duì)象狀態(tài)的一致性 |
| 說(shuō)明 | 檢查項(xiàng) |
|---|---|
| 共享環(huán)境文件安全 | 在多用戶系統(tǒng)中創(chuàng)建文件時(shí)應(yīng)指定合適的訪問(wèn)許可,以防止未授權(quán)的文件訪問(wèn),共享目錄中文件的讀/寫(xiě)/可執(zhí)行權(quán)限應(yīng)該使用白名單機(jī)制,實(shí)現(xiàn)最小化授權(quán)。 |
| 數(shù)據(jù)訪問(wèn)檢查 | 防止封裝好的數(shù)據(jù)對(duì)象被未授權(quán)使用,設(shè)置合理的據(jù)緩存區(qū)大小以防止耗盡系統(tǒng)資源, |
| 應(yīng)用文件處理 | 應(yīng)用程序運(yùn)行過(guò)程中創(chuàng)建的文件,需設(shè)置問(wèn)權(quán)限(讀、寫(xiě)、可執(zhí)行),臨時(shí)文件使及時(shí)刪除 |
| 說(shuō)明 | 檢查項(xiàng) |
|---|---|
| 最小化開(kāi)放端口 | 關(guān)閉操作系統(tǒng)不需要的端口和服務(wù) |
| 后臺(tái)服務(wù)管理 | 后臺(tái)(如數(shù)據(jù)緩存和存儲(chǔ)、監(jiān)控、業(yè)務(wù)管理等)務(wù)限內(nèi)部網(wǎng)絡(luò)訪問(wèn),開(kāi)放在公網(wǎng)的必須設(shè)置身份驗(yàn)證和訪問(wèn)控制。 |
| 環(huán)境配置 | 使用安全穩(wěn)定的操作系統(tǒng)版本、Web股務(wù)器軟件各種應(yīng)用框架、數(shù)據(jù)庫(kù)組件等 |
| 敏感代碼處理 | 將客戶端敏感代碼(如軟件包簽名、用戶名密碼校驗(yàn)等)都放在o等軟件包中防止篡改。 |
| 關(guān)閉調(diào)試通道 | 生產(chǎn)代碼不包含任何調(diào)試代碼或接口 |
| 通信安全 | 配置網(wǎng)站的HTTPS證書(shū)或其它加密傳輸措施。 |
如果對(duì)筆者的文章較為感興趣,可以關(guān)注筆者新書(shū)《PHP Web安全開(kāi)發(fā)實(shí)戰(zhàn)》,現(xiàn)已在各大平臺(tái)上架銷(xiāo)售,封面如下圖所示
作者:湯青松
日期:2018-11-13
微信:songboy8888
文章版權(quán)歸作者所有,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請(qǐng)注明本文地址:http://m.specialneedsforspecialkids.com/yun/42647.html
摘要:一背景團(tuán)隊(duì)最近頻繁遭受網(wǎng)絡(luò)攻擊,引起了技術(shù)負(fù)責(zé)人的重視,筆者在團(tuán)隊(duì)中相對(duì)來(lái)說(shuō)更懂安全,因此花了點(diǎn)時(shí)間編輯了一份安全開(kāi)發(fā)自檢清單,覺(jué)得應(yīng)該也有不少讀者有需要,所以將其分享出來(lái)。 一、背景 團(tuán)隊(duì)最近頻繁遭受網(wǎng)絡(luò)攻擊,引起了技術(shù)負(fù)責(zé)人的重視,筆者在團(tuán)隊(duì)中相對(duì)來(lái)說(shuō)更懂安全,因此花了點(diǎn)時(shí)間編輯了一份安全開(kāi)發(fā)自檢清單,覺(jué)得應(yīng)該也有不少讀者有需要,所以將其分享出來(lái)。 二、編碼安全 2.1 輸入驗(yàn)證 ...
摘要:數(shù)據(jù)庫(kù)文件已經(jīng)上傳,安裝配置就可以使用簡(jiǎn)稱即基于的后臺(tái)管理系統(tǒng)官方文檔地址在線體驗(yàn)地址賬戶密碼線上倉(cāng)庫(kù)在線地址源代碼下載克隆直接下載本地部署運(yùn)行環(huán)境要求建議配置虛擬域名若不清楚,請(qǐng)自行解決之,方便接下來(lái)開(kāi)展你的開(kāi)發(fā)工作。 喜歡就Star,不只是Fork; 想要分享的動(dòng)機(jī)才是驅(qū)動(dòng)力,而技術(shù)僅僅是一種方法。 數(shù)據(jù)庫(kù)文件已經(jīng)上傳,安裝配置就可以使用 showImg(https://seg...
摘要:數(shù)據(jù)庫(kù)文件已經(jīng)上傳,安裝配置就可以使用簡(jiǎn)稱即基于的后臺(tái)管理系統(tǒng)官方文檔地址在線體驗(yàn)地址賬戶密碼線上倉(cāng)庫(kù)在線地址源代碼下載克隆直接下載本地部署運(yùn)行環(huán)境要求建議配置虛擬域名若不清楚,請(qǐng)自行解決之,方便接下來(lái)開(kāi)展你的開(kāi)發(fā)工作。 喜歡就Star,不只是Fork; 想要分享的動(dòng)機(jī)才是驅(qū)動(dòng)力,而技術(shù)僅僅是一種方法。 數(shù)據(jù)庫(kù)文件已經(jīng)上傳,安裝配置就可以使用 showImg(https://seg...
摘要:即基于拿來(lái)即用高性能后臺(tái)管理系統(tǒng)官方文檔地址在線體驗(yàn)地址賬戶密碼線上倉(cāng)庫(kù)在線地址源代碼下載克隆直接下載本地部署運(yùn)行環(huán)境要求建議配置虛擬域名若不清楚,請(qǐng)自行解決之,方便接下來(lái)開(kāi)展你的開(kāi)發(fā)工作。 新版本在線體驗(yàn)地址已經(jīng)上線,歡迎體驗(yàn)? ---2017-01-14 喜歡就Star,不只是Fork; 想要分享的動(dòng)機(jī)才是驅(qū)動(dòng)力,而技術(shù)僅僅是一種方法。 ====================...
閱讀 2970·2023-04-25 17:46
閱讀 3596·2021-11-25 09:43
閱讀 1102·2021-11-18 10:02
閱讀 3060·2021-10-14 09:43
閱讀 2778·2021-10-13 09:40
閱讀 1530·2021-09-28 09:35
閱讀 2191·2019-08-30 15:52
閱讀 3164·2019-08-30 14:06
