私信及反馈
1、常见XSS漏洞,防止措施,将特殊字符过滤。
2、使用白名单和黑名单结合。
文件管理
1、限制文件管理功能操作的目录。
2、限制文件管理功能访问权限。
3、禁止上传特殊字符文件名的文件,利用文件名攻击的案例
http://www.myhack58.com/Article/html/3/7/2016/73694.htm。
安全体系建议:
1、密码复杂度提升
a、禁止使用弱口令。
b、强制密码使用8位以上的"大小写字母+数组+特殊字符"的组合。
c、禁止用户名和密码存在较大的相似度。
2、普通用户和业务用户分表
3、后台地址隐藏
4、密码加密,比如为密码加一个复杂的固定字符串,再进行md5或者sha1,这样黑客即使拿到用户的密文密码也很难反推出用户的真实密码。
5、登录限制,登录IP,双因素验证。
6、API站库分离(访问数据只能通过API服务器,API服务器对接口调用情况进行监控,设置阀值)。
7、敏感操作多因素验证。
业务功能安全点注意事项2
猜你喜欢
转载自xiaoyun34286136.iteye.com/blog/2323007
今日推荐
周排行