안전 규정
1. [필수] 사용자에게 속한 페이지 또는 기능은 권한 제어 확인을 거쳐야 합니다.
설명: 다른 사람의 주문을 보거나 수정하는 등 수평적 권한 확인을 수행하지 않고 다른 사람의 데이터에 마음대로 접근하고 조작하는 것을 방지합니다.
2. [필수] 민감한 사용자 데이터를 직접 표시하는 것은 금지되며, 표시 데이터는 민감도를 낮추어야 합니다.
참고: 개인 휴대폰 번호를 보면 158****9119로 표시되며, 개인 정보 유출을 방지하기 위해 가운데 4자리를 숨깁니다.
3. [필수] SQL 주입을 방지하기 위해 사용자가 입력하는 SQL 매개변수는 매개변수 바인딩 또는 METADATA 필드 값으로 엄격히 제한되어야 합니다. 데이터베이스에 대한 문자열 연결 SQL 액세스는 금지됩니다.
4. [필수] 사용자 요청으로 전달된 모든 매개변수의 유효성을 확인해야 합니다.
참고: 매개변수 확인을 무시하면 다음이 발생할 수 있습니다.
메모리 오버플로를 일으키는 과도한 페이지 크기
느린 데이터베이스 쿼리를 유발하는 악의적인 명령
임의 리디렉션
SQL 주입
역직렬화 주입
일반 입력 소스 문자열 서비스 거부 ReDoS
설명: Java 코드는 정규식을 사용하여 클라이언트 입력을 확인합니다. 일부 일반 작성 방법은 일반 사용자 입력을 확인하는 데 문제가 없습니다. 그러나 공격자 A가 특별히 생성된 문자열은 검증에 사용되며 이로 인해 무한 루프가 발생할 수 있습니다.
5. [필수] 안전하게 필터링되지 않거나 제대로 이스케이프되지 않은 사용자 데이터를 HTML 페이지로 출력하는 것은 금지되어 있습니다. 6. [필수] 양식 및 AJAX 제출은 CSRF 보안 필터링을 구현해야 합니다.설명: CSRF(교차 사이트 요청 위조) 교차 사이트 요청 위조는 일반적인 프로그래밍 취약점입니다. CSRF 취약점이 있는 애플리케이션/웹 사이트의 경우 공격자는 피해자 사용자가 URL에 액세스하자마자 사용자가 모르는 사이에 그에 따라 데이터베이스의 사용자 매개 변수를 수정할 수 있습니다.
7. 문자 메시지, 이메일, 전화, 주문, 결제 등 플랫폼 리소스를 사용할 때 수량 제한, 피로 제어, 인증 코드 확인 등 올바른 재생 방지 제한을 구현해야 합니다. 학대 및 자산 손실을 방지하기 위해.참고:
등록 시 인증 코드가 휴대폰으로 전송되고 횟수와 횟수에 제한이 없다면 이 기능을 사용하여 다른 다른 사용자를 괴롭히고 SMS 낭비를 초래할 수 있습니다. 플랫폼 자원.
8. [권장 사항] 게시, 댓글 달기, 인스턴트 메시지 보내기 등 사용자 생성 콘텐츠가 텍스트 콘텐츠에서 금지어 필터링 및 스와이프 방지와 같은 위험 제어 전략을 구현해야 하는 시나리오.
