peraturan keselamatan


1. [Mandatori] Halaman atau fungsi milik pengguna mesti menjalani pengesahan kawalan kebenaran.

Penerangan: Menghalang orang daripada dapat mengakses dan mengendalikan data orang lain sesuka hati tanpa melakukan pengesahan kebenaran mendatar, seperti melihat dan mengubah suai pesanan orang lain.

2. [Mandatori] Paparan langsung data pengguna sensitif adalah dilarang, dan data paparan mesti dinyahpekakan.

Nota: Melihat nombor telefon mudah alih peribadi anda akan menunjukkan: 158****9119, menyembunyikan 4 digit tengah untuk mengelakkan kebocoran privasi.

3. [Mandatori] Parameter SQL yang dimasukkan oleh pengguna mesti dihadkan dengan ketat oleh pengikatan parameter atau nilai medan METADATA untuk menghalang suntikan SQL String splicing akses SQL ke pangkalan data adalah dilarang.

4 [Mandatori] Sebarang parameter yang diluluskan oleh permintaan pengguna mesti disahkan untuk kesahihan.

Nota: Mengabaikan pengesahan parameter boleh membawa kepada:

  • saiz halaman yang berlebihan menyebabkan limpahan memori

  • tertib berniat jahat dengan menyebabkan pertanyaan pangkalan data yang perlahan

  • suntikan semula SQL

    • secara arbitrari

    • Deserialization Injection

    • Regular Input String Denial of Service ReDoS

Penerangan: Kod Java menggunakan ungkapan biasa untuk mengesahkan input pelanggan Beberapa kaedah penulisan biasa tidak mempunyai masalah untuk mengesahkan input pengguna biasa rentetan yang dibina khas untuk pengesahan boleh membawa kepada gelung tak terhingga.

5. [Mandatori] Dilarang mengeluarkan data pengguna yang tidak ditapis dengan selamat atau tidak dihantar dengan betul ke halaman HTML.

6. Borang [Mandatori] dan penyerahan AJAX mesti melaksanakan penapisan keselamatan CSRF.

Penerangan: CSRF (Pemalsuan permintaan silang - tapak) Pemalsuan permintaan silang tapak ialah kelemahan pengaturcaraan biasa. Untuk aplikasi/tapak web dengan kelemahan CSRF, penyerang boleh membina URL terlebih dahulu Sebaik sahaja pengguna mangsa mengaksesnya, latar belakang akan mengubah suai parameter pengguna dalam pangkalan data dengan sewajarnya tanpa pengetahuan pengguna.

7 [Mandatori] Apabila menggunakan sumber platform, seperti mesej teks, e-mel, panggilan telefon, pesanan dan pembayaran, sekatan anti-main semula yang betul mesti dilaksanakan, seperti had kuantiti, kawalan keletihan dan pengesahan kod pengesahan. untuk mengelakkan Penyalahgunaan dan kehilangan aset.

Nota:

Jika kod pengesahan dihantar ke telefon bimbit semasa mendaftar, jika tiada had bilangan dan kekerapan, maka fungsi ini boleh digunakan untuk mengganggu

pengguna lain dan menyebabkan pembaziran SMS sumber platform.

8. [Cadangan] Senario di mana kandungan yang dijana pengguna seperti menyiarkan, mengulas dan menghantar mesej segera mesti melaksanakan strategi kawalan risiko seperti anti-memberus dan menapis perkataan yang dilarang dalam kandungan teks.