业务功能安全点注意事项2

私信及反馈
    1、常见XSS漏洞，防止措施，将特殊字符过滤。
    2、使用白名单和黑名单结合。

文件管理
    1、限制文件管理功能操作的目录。
    2、限制文件管理功能访问权限。
    3、禁止上传特殊字符文件名的文件，利用文件名攻击的案例 http://www.myhack58.com/Article/html/3/7/2016/73694.htm。


安全体系建议：
1、密码复杂度提升
       a、禁止使用弱口令。
       b、强制密码使用8位以上的"大小写字母+数组+特殊字符"的组合。
       c、禁止用户名和密码存在较大的相似度。
2、普通用户和业务用户分表
3、后台地址隐藏
4、密码加密，比如为密码加一个复杂的固定字符串，再进行md5或者sha1，这样黑客即使拿到用户的密文密码也很难反推出用户的真实密码。
5、登录限制，登录IP，双因素验证。
6、API站库分离（访问数据只能通过API服务器，API服务器对接口调用情况进行监控，设置阀值）。
7、敏感操作多因素验证。