超级会员免费看
Web应用安全案例分析与风险洞察
1. 电子商务应用的安全需求与开发选择
某零售组织(Panthera)计划开发一个新的电子商务应用,该应用需全面支持与PayM的支付处理集成,PayM会提供相应的API。在招标书(RFP)中,Panthera详细列出了电子商务应用的多项功能需求,尤其强调了应用所需的安全能力。这些安全需求是基于Web应用的行业标准安全要求制定的,具体如下表所示:
| 安全需求 | 描述 |
| — | — |
| 用户认证和授权管理 | 应用应基于“按需知晓”原则实现认证和授权机制,采用复杂密码、会话超时、密码过期、重置和历史记录等单认证机制,适用于管理员用户;实现强大的会话管理,防止用户会话被劫持或窃取;实施强授权机制,仅授权用户可查看特定页面或执行特定操作,管理员的授权基于角色;配置加密机制,使用HTTPS(SSL/TLS)进行互联网传输。 |
| 数据保护功能 | 支持安全存储客户信用卡信息和其他用户信息;保护数据库中存储的礼品卡号码;保护数据库中存储的用户密码不被泄露;支持加密密钥管理实践。 |
| 安全编码实践 | 采用最新行业标准的安全编码最佳实践进行开发。 |
| 日志记录和管理 | 具备全面的日志记录功能,记录用户登录、无效登录尝试、密码重置、管理活动、用户信息访问和库存信息等关键细节,提供时间、用户信息、成功/失败指示和访问的数据或组件等信息;记录应用错误和异常。 |
经过与多家软件应用供应商和开发组织的讨论,Panthera管理层决定与Jaguar InfoSolutions合作开发定制电子商务应用。Jaguar InfoSolutions有为银行、保险和其他电子商务公司开发应用的经验,了解安全合规要求,
订阅专栏 解锁全文
扫一扫
2903
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
