网络安全规范
为了提高网络安全,在进行服务部署和对外访问时,需要端口、漏洞的控制,否则很容易出现下面的数据安全问题。
| 问题名称 | 问题危害 | 开发建议 |
|---|---|---|
| 敏感端口 | 很多涉及个人隐私数据(例:身份证号码、手机号码、住址等),如果在数据库没有进行过加密,可能导致数据泄露(黑客攻击、内部泄密)后造成较大信息安全隐患。 | 后端在存储数据时候,对特定字段进行加密处理 |
| 漏洞扫描 | 攻击者可能使用低权限用户请求高权限的接口,调用接口获取数据。 | 后端查询数据返回阶段应该进行脱敏处理 |
| DDoS攻击 | 攻击者可能使用低权限用户请求高权限的接口,调用接口获取数据。 | 后端查询数据返回阶段应该进行脱敏处理 |
明文存储检查
明文存储主要需要数据安全存储的问题,就需要实现框架层的数据存储时自动加密
- 登录控制,是逻辑上的细节控制,比如 单设备登录、登录环境检测、登录异常检测
- 接口鉴权根据不同的框架,有不同的出来方式
信息泄露检查
文件上传漏洞就需要前端和后端使用黑名单、白名单严格限制上传文件的类型和大小。
- 前端控制,根据业务需求,指定上传文件格式、大小限制
- 后端控制,在上传接口添加文件类型检测、大小限制
- 运维控制,在 Nginx 负载均衡限制上传文件大小
作者:Jeebiz 创建时间:2022-11-07 19:04
最后编辑:Jeebiz 更新时间:2024-11-14 21:58
最后编辑:Jeebiz 更新时间:2024-11-14 21:58
