1、异常错误处理与日志审计 5.1、日志审计系统安全规则 1 日志系统能够记录特定事件的执行结果(比如 成功或失败)。 确保日志系统包含如下重要日志信息: 1、 日志发生的时间; 2、 ...
分类:
Web程序 时间:
2015-01-08 09:29:43
阅读次数:
457
概述 移动应用开发中,往往有跨进程通信的需求,方便地实现程序间的数据共享。Android提供了多种IPC通信的方式,给开发人员带来了便利,但如果选择或使用不当,就有可能发生各种各样的风险。 ...
分类:
移动开发 时间:
2015-01-07 09:18:04
阅读次数:
208
概述 移动应用很多时候并非孤立存在,在多数场景下存在前、后台以及第三方服务之间进行数据交互,因此,在网络中传输敏感数据在所难免,如果不使用正确安全的传输方式,有可能存在敏感信息泄漏的风险。 ...
分类:
移动开发 时间:
2015-01-07 09:17:10
阅读次数:
201
1、数据验证 4.1、输入数据验证安全规则 1 数据验证必须放在服务器端进行。 2 至少对输入数据的数据类型、数据范围和数据长度进行验证。 ...
分类:
Web程序 时间:
2015-01-07 09:16:14
阅读次数:
291
1、数据存储概述移动应用经常需要在某些场景下(比如用户登录)处理和用户或业务相关的敏感数据,有时候为满足某些业务需求,需要把这些敏感数据存储在本地,如果不对这些数据进行适当处理,就有可能存在敏感信息泄漏的风险。安全准则A. 敏感数据总是优先考虑存储在内部空间。B. 敏感数据无论是存储在内部还是外部空...
分类:
移动开发 时间:
2015-01-06 09:51:54
阅读次数:
210
1、会话管理3.1、会话管理安全规则1避免在URL携带session id。2使用SSL加密通道来传输cookie。3避免在错误信息和调试日志中记录session id。4使用框架自带的或业界公认的安全函数来生成session id(参考附录11.4)。5开发或引入无状态的模块(比如shipin7 ...
分类:
Web程序 时间:
2015-01-06 09:47:28
阅读次数:
226
2.1 访问控制安全规则 1 访问控制必须只能在服务器端执行。 2 只通过session来判定用户的真实身份,避免使用其它数据域的参数(比如来自cooki...
分类:
Web程序 时间:
2015-01-04 09:47:28
阅读次数:
169
产品安全设计十大原则 原则1:最小化攻击面: 系统每增加一个功能特性就有可能会引入新的风险,通过安全开发可以减少攻击面进而达到控制系统整体风险的目的。 打个比方说,某在线web应用向用户提供了一个通过搜索来获取帮助的功能,如果后端代码没有正确实现该功能就有可能导致存在SQL注入漏洞,但是即便如此,我...
分类:
其他好文 时间:
2015-01-01 18:27:48
阅读次数:
1299
1、认证 1.1、 认证和密码管理安全规则 1 认证控制必须只能在服务器端执行。 2 除了指定为公开的资源,对所有其它资源的访问都必须先经过认证。 ...
分类:
Web程序 时间:
2014-12-31 19:57:35
阅读次数:
208
必须谨记!Node.js安全开发技巧http://www.csdn.net/article/2014-11-25/2822803-NODE?reload=1
分类:
Web程序 时间:
2014-12-01 00:32:19
阅读次数:
196
