文章目录
- I 强制性安全规约
- 平台资源的防重放机制
- URL 外部重定向传入的目标地址必须执行白名单过滤。
- 表单、AJAX 提交必须执行 CSRF 安全验证。
- 禁止向 HTML 页面输出未经安全过滤或未正确转义的用户数据。
- 用户请求参数必须做有效性验证
- 防止 SQL 注入
- 用户敏感数据
- 用户权限控制校验
- II 推荐性安全规约
- III 安全基础知识扩展
- 敏感信息
- 敏感逻辑的保护方案
- 脱敏规范
- 通讯协议的安全措施
- web安全知识
- IV 正则输入源串拒绝服务 ReDoS
- 正则表达式"ReDoS"
- 解决方法
I 强制性安全规约
平台资源的防重放机制
在使用平台资源,譬如短信、邮件、电话、下单、支付,必须实现正确的防重放的机制,如数量限制、疲劳度控制、验证码校验,避免被滥刷而导致资损。
说明:如注册时发送验证码到手机,如果没有限制次数和频率,那么可以利用此功能骚扰到其它用户,并造成短信平台资源浪费。
URL 外部重定向传入的目标地址必须执行白名单过滤。
说明:攻击者通过恶意构造跳转的链接,可以向受害者发起钓鱼攻击。
表单、AJAX 提交必须执行 CSRF 安全验证。
-
CSRF (Cross-site request forgery) 跨站请求伪造是一类常见编程漏洞。对于存在 CSRF 漏洞的应用/网站,攻击者可以事先构造好 URL,只要受害者用户一访问,后台便在用户不知情的情况下对数据库中用户参数进行相应修改。
