账号安全问题:是否有管理员账号、项目组是否有线上账号
不可不经运维流程更新线上代码和数据。
更新代码、更新包,必须走版本管理,并由测试负责提交运维人员。
数据泄露风险。
测试环境数据库定时备份机制等。
软件安全问题:
1) 密码的复杂度要求。大于等于8位。修改密码时同样要求。
2) 登录时密码不能明文传输
3) 密码需要加密后存储到数据库,如果有密钥,密钥不能同时配置在数据库里。
4) 日志中不可明文记录密码、银行卡号、身份证号。
5) 接口查询业务数据时的用户权限检查
6) 避免可遍历查询风险
7) 不可相信用户端请求的数据,例如不使用用户端提交的“创建时间”。前端已做过的表单规则验证,后端需要再次验证。
8) 用户提交数据时,服务端再次检查权限,不相信前端已检查过的权限。
9) 无其它常见的安全漏洞:sql注入、xss攻击等
联系客服