安全自查-11887964
密码要求:
-
密码中不含有连续的字符串
-
密码中不含有个人信息、公司信息、容易被猜解的敏感字符串(防止密码被猜测)
-
密码长度不少于八位(增加包里破解难度)
-
不使用缺省口令或空口令
-
使用大写字母(A-Z)、小写字母(a-z)、数字(0-9)和特殊字符组成密码,应在系统密码设置策略限定。
-
定期更换口令
可参考下列“大神”密码,快速学习设置有趣的强密码~
-
ppnn13%dkstFeb.1st —— 娉娉袅袅十三余,豆蔻梢头二月初
-
Tree_0f0=sprintf(“2_Bird_ff0/a”) —— 两个黄鹂鸣翠柳
-
csbt34.ydhl12s —— 池上碧苔三四点,叶底黄鹂一两声
-
hold?fish:palm —— 鱼和熊掌不可兼得
-
FLZX3000cY4yhx9day —— 飞流直下三千尺,疑似银河下九天
Web应用安全业务自查checklist
业务功能 | 自查安全项 | 风险等级 |
---|---|---|
登录 | 1、不要使用弱口令!!!!!!!!!!!!!!!!!!!!设置复杂密码。 | 高 |
2、登录功能应使用验证码等二次验证机制,且验证码应在每次登录成功或失败后失效刷新; | 中 | |
3、如密码等敏感信息应加密传输; | 中 | |
4、外网系统应使用https传输登录信息; | 高 | |
5、用户登录失败的提示信息应为“用户名或密码错误”/“登录失败”等模糊提示 | 低 | |
注册 | 1.应有二次审核机制,如手机/邮箱等方式验证; | 高 |
2.短信发送接口应限制针对同一手机号的请求频率; | 低 | |
密码找回 | 1.应有二次审核机制,如手机/邮箱等方式验证,不可修改需要验证的手机号/邮箱等; | 高 |
2.短信发送接口应限制针对同一手机号的请求频率; | 低 | |
3.在每一步环节应判断上一步的合法性; | 中 | |
退出登录 | 1.session认证会话应配置过期时间,一般建议60min; | 低 |
2.点击退出后应销毁服务端认证session,使用户端cookie在退出登录后失效; | 中 | |
上传 | 1.上传功能文件后缀应使用白名单限制为业务需要的文件类型; | 高 |
2.应限制上传目录的权限,不允许赋予上传目录和上传的文件执行权限; | 中 | |
下载 | 1.下载目录应被限定在固定目录内,不允许被../../等路径操作跨目录访问其他文件; | 高 |
2.敏感资源应设置访问控制权限,只允许拥有授权的角色下载; | 高 | |
跨域需求接口 | 使用CORS跨域时,CORS安全配置: | |
1.应设置Access-Control-Allow-Origin及Origin白名单域名; | 中 | |
2.只有需要携带Cookie时,才允许设置Access-Control-Allow-Credentials头,且Origin白名单必须精细化设置。 | 高 | |
JSONP接口: | ||
1.必须使用白名单严格限制请求来源referer; | 高 | |
网络资源调用 | 1.应使用白名单限定允许调用的URL,特别针对内网的请求应严格限定; | 高 |
调用系统命令 | 1.应使用白名单限定允许调用的系统命令; | 高 |
敏感操作接口 | 1.应使用白名单限制请求来源referer或增加token等机制验证请求发起者身份; | 高 |
2.应记录应用操作日志; | 中 | |
3.敏感操作接口如订单支付等,应使用悲观锁或乐观锁保证事务的ACID特性,解决并发竞争问题; | 高 | |
4.对敏感资源进行操作时,应在服务端校验资源标识归属人是否与当前登录人一致; | 高 | |
漏洞扫描 | 1.上线前应使用扫描工具扫描测试,确定无漏洞和安全风险; | 必须 |
代码安全审计 | 1.上线前应使用代码扫描工具进行扫描,确定无漏洞和安全风险; | 必须 |
数据安全 | 数据处理: | |
1.对用户可控输入且最终会回显输出到页面的数据,应使用公司安全防护组件进行转义安全编码后再输出; | 中 | |
2.应将SQL语句预编译处理,未能预编译处理的语句如order by子句应使用白名单控制用户允许的输入; | 高 | |
3.应在前端对敏感字段(如手机号、身份证、银行卡号)脱敏展示; | 中 | |
数据传输: | ||
1.外网系统应使用https传输数据; | 中 | |
2.敏感字段应脱敏/加密处理; | 中 | |
数据存储: | ||
1.日志中不应包含明文或未脱敏敏感数据; | 低 | |
2.敏感数据应加密存储; | 中 |
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】凌霞软件回馈社区,博客园 & 1Panel & Halo 联合会员上线
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】博客园社区专享云产品让利特惠,阿里云新客6.5折上折
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步