-----------------------------------------------------------------------------------------------------------------------------------------------
输入输出可能产生安全风险,包括常见的反射型跨站脚本攻击漏洞、存储型跨站脚本攻击漏洞、数据库命令注入、XML注入、系统命令注入等漏洞
所有用户输入、修改的数据,所有与客户端交互的的数据,仅包括GET请求数据、POST请求数据、Referer主机头、Cookie数据
必须在服务端执行所有的数据处理及校验,不可以单独使用JavaScript在客户端处理及校验
必须保证会话创建服务器自身的运行环境安全。并且须保证会话ID有足够随机性,以防止被暴力猜解或逆向
禁止使用GET方法传递敏感参数(会话标识、身份证号等),因为GET方法会将数据显示在URL中,传输过程所有的代理及缓存服务器都可以直接获取用户数据
重要系统在每个请求或每个会话中使用token随机参数
攻击者可能根据认证失败的结果,暴力破解用户名和密码。较弱的图形验证码能够被某些图像识别技术读取出其中的验证码字符,进而绕过图形验证码的校验功能。邮箱、手机认证也是常见的认证方式。以上对象都需要有合理安全的管理方法
业务日志主要是为了记录用户的业务操作行为,保证业务操作的可追溯性和抗抵赖性,这通常也是所有行业监管机构的强制要求
包含所有在网络中传输的所有应用数据,敏感数据应当进行双重加密
应用安全开发规范文档的预期读者包括
A.设计人员
B.开发人员
D.测试人员
D.全部人员
外部数据来源分为以下几类
A.来自客户的数据提交
B.来自其它应用系统接口的数据提交
C.来自应用软件内部产生的数据提交
D.引用数据进行输出
输出数据来源分为以下几类(BCD )
A.来自客户的数据提交
B.用户输入的数据进行中转输出。
C.数据库数据进行输出。
D.引用数据进行输出。
身份认证安全风险主要包括用户密码暴力破解、验证码无效、验证绕过、验证码回显、图形验证码过弱、无密码策略等等。可造成的风险不限于( )等等安全风险。属于非常重要的功能模块。
A.撞库攻击
B.暴力破解
C.用户名枚举
D.任意用户登陆
会话管理风险主要包括( )等等。可造成的风险包括但不限于用户敏感信息被盗、异常的转账或修改信息等。对用户危害相对较大
A.会话ID可预测
B.会话注销异常
C.跨站请求伪造(CSRF)
D.cookie包含敏感信息
E.点击劫持
F.cookie被JS读取
输入输出可能产生安全风险,包括常见的反射型跨站脚本攻击漏洞、存储型跨站脚本攻击漏洞、数据库命令注入、XML注入、系统命令注入等漏洞。对系统造成的安全风险极大,包括但不限于获取用户权限、数据库内容和( )等等。
所有用户输入、修改的数据,所有与客户端交互的的数据,包括但不限于GET请求数据、POST请求数据、Referer主机头和( )等。
白名单的使用场景包括()和()。
填空1 ____________
填空2 ____________
会话保持的方法分为两大类,分别是( )和( )
填空1 ____________
填空2 ____________
身份认证安全风险主要包括用户密码暴力破解、验证码无效、验证绕过、验证码回显、图形验证码过弱、无密码策略等等。可造成的风险不限于撞库攻击、暴力破解、用户名枚举、任意用户登陆等等安全风险。属于非常重要的( )