开发安全铁三角
为了能更好地理解今天所讲,请大家先回顾一下之前“开发安全铁三角纵横谈”内容:专栏特辑 | 开发安全铁三角纵横谈(八)
安全编码
(1) 规范的归规范,指南的归指南
(2) 定位准确
第三章 应用安全
第六条 输入验证应统一,应对业务参数和其他输入均验证。
第七条 输出时需进行实体转换,防止嵌入可执行脚本风险。
第八条 用户认证应保持唯一性,防止被破解。
第九条 登录和交易应使用图形认证码等方式。涉及敏感信息的外部系统连接必须使用身份验证登录,未登录用户不能访问任何账户信息。
第十条 密码应采用国密算法加密,保证密码强度高不易被破解。如果采用手势密码,需使用我行的手势密码控件安全加密传输,键盘应至少为3*3的矩阵要求。
第十一条 会话安全应使用较强的会话标识符并进行有效性限制,禁止在cookie存储敏感信息。
第十二条 访问控制按照最小授权原则并遵循。
第十三条 系统中如果使用第三方组件,建议使用稳定的版本。
第十四条 处理错误和异常情况期间,应防止信息泄露。对每个重要的行为都进行日志记录。
第四章 网络与通信安全
第十五条 信息传输应使用强壮的加密算法和安全协议保护客户端与服务器之间的连接,保证传输数据的机密性和完整性。
第十六条 客户敏感信息涉及跨境传输过程中需要进行加密传输。
回答开发团队在安全编码时,要注意什么,思考的关键点等,这是安全编码规范的使命,其他则留给别的制度和方法去解决。
下一章节我们聊聊安全测试等环节的内容。
拓展阅读●●
原文始发于微信公众号(国舜股份):专栏特辑 | 开发安全铁三角纵横谈(九)安全编码
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论