网络信息安全技术服务中心（网络信息安全技术不包括）

投稿用户 • 2022年8月21日 pm4:27 • 生活随笔 • 阅读 409

近日，中央网络安全和信息化委员会印发《“十四五”国家信息化规划》。以及近期发生的log4j安全漏洞事件。培育先进安全的数字产业体系尤为重要。因此，我整理了一些信息安全技术的要点，从工程师角度看待安全问题。

权限验证：

二次验证（短信，图片验证码，人机交互），防止机器注册。
接口调用权限。角色账户与之对应的api功能授权。
使用Https请求，对传输数据非对称加密。
Cookie安全
应用程序控制好单点登录还是多点登录。token过期等。
重置密码时，设置token的过期时间。
客户端在使用Webview控件时，要防止webview缓存记住了密码信息。
在loadWeb数据的时候，需判断是否受服务器信任。使用与之对应的授权方法请求数据。对于低版本的webview，禁止动态注入javascript脚本。

数据验证：

对购物车，浏览历史记录等资源访问，需要校验用户是否具有该资源的访问权限。
任何修改邮箱或者手机号码等功能，首先要验证是否属于他的。
任何上传功能，首先应该过滤用户上传的文件名和后缀名，上传的资源应该在云存储。
用户的id，应该是RFC生成的uuid,而不应该是个整数。

客户端数据安全：

记住登录密码等信息应该存储在钥匙串中，而不是存储在沙盒文件或者属性文件中。
服务器之间调用的api,不应该在客户端出现。
任何密码或者appToken不应该在客户端硬编码。
推荐使用certificate pinning.
对手机相关资源的使用，必须有相关授权的提示。

Web安全头信息：

添加CSP头信息，防止XCSS和数据注入。
添加CSRF头信息，防止跨站点伪造攻击。设置CSRF Token,校验Referer头信息。
添加X-Frame-Options，根据需求合理设置其允许范围。防止点击劫持。
添加X-XSS-Protection缓解XSS攻击。
Access-Control-Allow-Origin 当需要配置跨域时，需对请求头Origin做严格过滤。
更新DNS记录，增加SPF记录，防止垃圾邮件和钓鱼攻击。

数据加密：

建议使用AES加密，密钥长度128位以上。禁止使用DES算法及解密。

密码存储策略：采用随机+对明文多轮哈希的值

数据输入：

对用户所有的输入都应该防止XSS攻击。
使用参数化的sql查询，需防止SQL注入攻击。
不要手动拼写json字符串，必须使用第三方json工具。
对类似URL的输入，防止SSRF攻击。

机器运维：

检查服务器没有必要开发的端口需关闭。
使用SSH登录，不要使用密码，而是通过SSH key 来验证登录。
修改服务器配置，HTTPS使用TLS1.2
切勿在生产环境开启Debug 模式。
使用DDOS清洗的主机服务。
对必要的业务数据加密，对必要的启动磁盘加密。
及时更新系统补丁。

https://github.com/Tencent/secguide 分享一份腾讯安全编码指南，对于软件开发的程序员，从日常的防范以及安全编码规范做起尤为重要。

明天就2022年了，提前祝您新的一年，事业顺利，企业更加智能与数字化，产品越做越好。

关注企业数字化转型札记，看更多好文。

创业项目群，学习操作 18个小项目，添加微信：80709525 备注：小项目！

本文内容由互联网用户自发贡献，该文观点仅代表作者本人。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容，请发送邮件至 sumchina520@foxmail.com 举报，一经查实，本站将立刻删除。
如若转载，请注明出处：https://www.11in.com/23369.html

网络信息安全技术服务中心（网络信息安全技术不包括）

相关推荐