安全規制

1. [必須] ユーザーに属するページまたは機能は、権限制御の検証を受ける必要があります。

説明: 他の人の注文の表示や変更など、水平的な権限検証を実行せずに、他の人のデータに自由にアクセスして操作できないようにします。

2. [必須] 機密性の高いユーザー データを直接表示することは禁止されており、表示データの感度を解除する必要があります。

手順: 個人の携帯電話番号を表示すると、プライバシー漏洩を防ぐために中央の 4 桁が隠されて、「158****9119」と表示されます。

3. [必須] SQL インジェクションを防ぐために、ユーザーが入力した SQL パラメーターはパラメーター バインディングまたは METADATA フィールド値によって厳密に制限する必要があります。 文字列スプライシング SQL によるデータベースへのアクセスを禁止します。

4. [必須] ユーザーが渡したパラメータは有効性を検証する必要があります。

#注: パラメータの検証を無視すると、次のような問題が発生する可能性があります。

• # ページ サイズが過剰になり、メモリ オーバーフローが発生する

• 悪意のある order by によりデータベース クエリが遅くなる

• 任意のリダイレクト

• SQL インジェクション

• 逆シリアル化インジェクション

• 通常の入力ソース文字列サービス拒否 ReDoS

説明: Java コードは正規表現を使用して顧客を検証します。エンドユーザー入力の場合、一部の通常の記述方法では通常のユーザー入力を問題なく検証できますが、攻撃者が特別に作成した文字列を検証に使用すると、無限ループにつながる可能性があります。 5. 【必須】安全にフィルタリングされていない、または適切にエスケープされていないユーザーデータをHTMLページに出力することは禁止されています。

6. [必須] CSRF セキュリティ フィルタリングは、フォームおよび AJAX の送信に対して実行する必要があります。

説明:

CSRF (クロスサイト リクエスト フォージェリ) クロスサイト リクエスト フォージェリは、一般的なプログラミングの脆弱性です。 CSRF 脆弱性のあるアプリケーション/Web サイトの場合、攻撃者は事前に URL を構築することができ、被害ユーザーがアクセスするとすぐに、ユーザーの知らないうちにバックグラウンドによってデータベース内のユーザー パラメータが変更されます。 7. [必須] テキスト メッセージ、電子メール、電話、注文、支払いなどのプラットフォーム リソースを使用する場合、

数量制限などの正しいリプレイ防止制限を実装する必要があります。 、疲労管理、資金の悪用や紛失を防ぐための検証コードの検証。

注:

登録時に確認コードが携帯電話に送信される場合、回数と頻度に制限がなければ、この機能を使用して他のユーザーに嫌がらせをすることができます。 ## 他のユーザーにより、SMS プラットフォームのリソースが無駄になります。

8. [推奨事項] 投稿、コメント、インスタント メッセージの送信などのユーザー作成コンテンツが、テキスト コンテンツ内の禁止用語のアンチブラッシングや

フィルタリングなどのリスク管理戦略を実装する必要があるシナリオ。