安全测试

安全测试

测试清单

对于用户可以控制的数据进行过滤或者转义处理

  • 包括get、post、cookie、header、数组下标等内容
  • 字符串必须对单引号进行转移处理,至少有”<”, “>”, “‘“, “””

    身份认证和会话管理

  • 加密的会话ID需要具有时效性,避免永不过期
  • 使用复杂的加密方式避免伪造
  • 避免每次生成同样的会话ID

    跨站脚本(XSS)

    功能级访问控制缺失

  • 对于每个功能的访问,需要明确授予特定角色的访问权限(在展示、修改、删除的时候必须检查信息的所有者和操作中是否一致,展示不同用户数据的时候尽量避免url参数可被遍历)

    跨站请求伪造(CSRF)

  • 关键请求必须增加来路判断
  • 关键请求尽量增加token校验(Token要足够随机,Token是一次性的)

    服务安全规范

  • 禁止外网服务使用默认配置
  • 禁止web应用通过IP方式访问
  • 禁止公网IP开放80和443以外的端口
  • 禁止.svn/.git/log等敏感文件发布到服务器,所有代码上传必须配置好过滤器
  • 禁止所有web应用目录写权限,如业务需要写权限必须禁止直行权限
  • 禁止数据库及非关系数据库服务器开放外网端口访问
haofly wechat
欢迎您扫一扫上面的微信公众号,订阅我的博客!
坚持原创技术分享,您的支持将鼓励我继续创作!