业务功能安全点注意事项2

私信及反馈
1、常见XSS漏洞,防止措施,将特殊字符过滤。
2、使用白名单和黑名单结合。

文件管理
1、限制文件管理功能操作的目录。
2、限制文件管理功能访问权限。
3、禁止上传特殊字符文件名的文件,利用文件名攻击的案例[url]http://www.myhack58.com/Article/html/3/7/2016/73694.htm[/url]。


安全体系建议:
1、密码复杂度提升
a、禁止使用弱口令。
b、强制密码使用8位以上的"大小写字母+数组+特殊字符"的组合。
c、禁止用户名和密码存在较大的相似度。
2、普通用户和业务用户分表
3、后台地址隐藏
4、密码加密,比如为密码加一个复杂的固定字符串,再进行md5或者sha1,这样黑客即使拿到用户的密文密码也很难反推出用户的真实密码。
5、登录限制,登录IP,双因素验证。
6、API站库分离(访问数据只能通过API服务器,API服务器对接口调用情况进行监控,设置阀值)。
7、敏感操作多因素验证。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值