安全测试

测试清单

对于用户可以控制的数据进行过滤或者转义处理

• 包括get、post、cookie、header、数组下标等内容
• 字符串必须对单引号进行转移处理，至少有”<”, ”>”, ”’”, """

身份认证和会话管理

• 加密的会话ID需要具有时效性，避免永不过期
• 使用复杂的加密方式避免伪造
• 避免每次生成同样的会话ID

跨站脚本(XSS)

功能级访问控制缺失

• 对于每个功能的访问，需要明确授予特定角色的访问权限(在展示、修改、删除的时候必须检查信息的所有者和操作中是否一致，展示不同用户数据的时候尽量避免url参数可被遍历)

跨站请求伪造(CSRF)

• 关键请求必须增加来路判断
• 关键请求尽量增加token校验(Token要足够随机，Token是一次性的）

服务安全规范

• 禁止外网服务使用默认配置
• 禁止web应用通过IP方式访问
• 禁止公网IP开放80和443以外的端口
• 禁止.svn/.git/log等敏感文件发布到服务器，所有代码上传必须配置好过滤器
• 禁止所有web应用目录写权限，如业务需要写权限必须禁止直行权限
• 禁止数据库及非关系数据库服务器开放外网端口访问
• ​