安全规约、脱敏规范、敏感逻辑的保护方案、防止 SQL 注入
文章目录
- I 强制性安全规约
-
- 对于文件上传功能,需要对于文件大小、类型进行严格检查和控制。
- 平台资源的防重放机制
- URL 外部重定向传入的目标地址必须执行白名单过滤。
- 表单、AJAX 提交必须执行 CSRF 安全验证。
- 禁止向 HTML 页面输出未经安全过滤或未正确转义的用户数据。
- 用户请求参数必须做有效性验证
- 防止 SQL 注入
- 用户敏感数据
- 用户权限控制校验
- II 推荐性安全规约
- III 安全基础知识扩展
-
- 敏感信息
- 敏感逻辑的保护方案
- 脱敏规范
- 通讯协议的安全措施
- web安全知识
- IV 正则输入源串拒绝服务 ReDoS
-
- 正则表达式"ReDoS"
- 解决方法
I 强制性安全规约
对于文件上传功能,需要对于文件大小、类型进行严格检查和控制。
说明:攻击者可以利用上传漏洞,上传恶意文件到服务器,并且远程执行,达到控制网站服务器的目的。
平台资源的防重放机制
在使用平台资源,譬如短信、邮件、电话、下单、支付,必须实现正确的防重放的机制,如数量限制、疲劳度控制、验证码校验,避免被滥刷而导致资损。
说明:如注册时发送验证码到手机,如果没有限制次数和频率,那么可以利用此功能骚扰到其它用户,并造成短信平台资源浪费。
