新聞動態

News

Web安全原則應這樣設計,你不知道吧

Web安全原則設計

 

     1、認證模塊必須采用防暴力破解機制,例如:驗證碼或者多次連續嘗試登錄失敗后鎖定帳號或IP。

     說明:如采用多次連續嘗試登錄失敗后鎖定帳號或IP的方式,需支持連續登錄失敗鎖定策略的“允許連續失敗的次數”可配置,支持在鎖定時間超時后自動解鎖。
 


 

 2、對于每一個需要的授權訪問的頁面或servlet請求必須是用戶的會話ID,以驗證是否合法,該用戶是否被授權來執行該操作,以防止未經授權的URL。

     說明:禁止用戶通過直接輸入網址,網址越權,請求和執行一些頁面或servlet建議通過過濾器實現。

     3、在登錄的過程中,將HTTPS的安全協議(SSL),必須使用進行的用戶名和密碼到服務器。只提供訪問本機,登錄,并且不需要使用設備管理風光一時。

     說明:如果在客戶端和服務器間傳遞如帳號、口令等敏感數據,必須使用帶服務器端證書的SSL。由于SSL對服務端的CPU資源消耗很大,實施時必須考慮服務器的承受能力。

     4、對用戶的最終認證處理過程必須放到服務器進行。

     5、用戶生成的數據必須是在服務器檢查;在輸出到以前的客戶數據必須去的HTML代碼,以防止惡意代碼,跨站點腳本攻擊的執行。對于不可靠的數據,輸出到客戶機必須首先進行的HTML編碼。

     6、使用主流Web安全掃描工具掃描Web服務器和Web應用,不存在“高”級別的漏洞。

     7、非嵌入式產品的Web應用,應使用預編譯語句PreparedStatement代替直接的語句執行Statement,以防止SQL注入。

Copyright © 2002-2020 云尖(北京)軟件有限公司 版權所有?|?法律聲明?|?聯系我們?|?京ICP備11034633號-3
?京公網安備 11010802029573號
秒速赛车具体玩法 福建快三官网下载 北京赛车开奖视频直播 福彩排列7规则 现在炒股赚钱吗 黑龙江十一选五预测号7月18日 江苏快3开奖结果今天开奖号码查询结果 幸运赛车杀号技巧 武汉股票配资公司 山西体彩十一选五今天开奖结果 深圳风采一等奖 安徽十一选五开奖结果一定牛 河北十一选五今日推荐 快乐扑克3豹子中奖 配资114股票配资平台 河南快三一定牛预测 新时时彩软件