règles de sécurité
1. [Obligatoire] Les pages ou fonctions appartenant à l'utilisateur doivent subir une vérification de contrôle d'autorisation.
Description : Empêcher les personnes de pouvoir accéder et utiliser les données d'autres personnes à volonté sans effectuer une vérification horizontale des autorisations, comme consulter et modifier les commandes d'autres personnes.
2. [Obligatoire] L'affichage direct des données utilisateur sensibles est interdit et les données d'affichage doivent être désensibilisées.
Remarque : L'affichage de votre numéro de téléphone portable personnel affichera : 158****9119, masquant les 4 chiffres du milieu pour éviter toute fuite de confidentialité.
3. [Obligatoire] Les paramètres SQL saisis par les utilisateurs doivent être strictement limités par la liaison des paramètres ou les valeurs du champ METADATA pour empêcher l'injection SQL. L'accès SQL par épissage de chaînes à la base de données est interdit.
4. [Obligatoire] La validité de tous les paramètres transmis par la demande de l'utilisateur doit être vérifiée.Remarque : Ignorer la vérification des paramètres peut entraîner :
- une taille de page excessive provoquant un débordement de mémoire
- un ordre malveillant en provoquant une requête de base de données lente
- une redirection arbitraire
- une injection SQL
- Injection de désérialisation
- Chaîne source d'entrée régulière Déni de service ReDoS
Description : Le code Java utilise des expressions régulières pour vérifier l'entrée du client. Certaines méthodes d'écriture régulières n'ont aucun problème à vérifier l'entrée utilisateur ordinaire, mais si l'attaquant utilise un. une chaîne spécialement construite pour la vérification peut conduire à une boucle infinie. 5. [Obligatoire] Il est interdit de générer des données utilisateur qui ne sont pas filtrées de manière sécurisée ou qui ne sont pas correctement échappées vers la page HTML.
6. [Obligatoire] Le formulaire et la soumission AJAX doivent implémenter le filtrage de sécurité CSRF.
Description :CSRF (falsification de requêtes intersites) La falsification de requêtes intersites est une vulnérabilité de programmation courante. Pour les applications/sites Web présentant des vulnérabilités CSRF, l'attaquant peut construire l'URL à l'avance. Dès que l'utilisateur victime y accède, l'arrière-plan modifiera les paramètres utilisateur dans la base de données en conséquence à l'insu de l'utilisateur. 7. [Obligatoire] Lors de l'utilisation des ressources de la plateforme, telles que les messages texte, les e-mails, les appels téléphoniques, les commandes et les paiements, des restrictions anti-relecture correctes doivent être mises en œuvre,
telles que les limites de quantité, le contrôle de la fatigue et la vérification du code de vérification. pour éviter d'être abusé et perte de biens.Remarque :
Si un code de vérification est envoyé au téléphone mobile lors de l'inscription, s'il n'y a pas de limite sur le nombre et la fréquence, alors cette fonction peut être utilisée pour harceler d'autres autres utilisateurs et provoquer un gaspillage de SMS ressources de la plateforme.
8. [Recommandation] Scénarios dans lesquels le contenu généré par l'utilisateur, tel que la publication, les commentaires et l'envoi de messages instantanés, doit mettre en œuvre des stratégies de contrôle des risques telles que l'anti-brossage et le filtrage des mots interdits dans le contenu textuel.
