Web业务安全
1)应建立合理的会话超时阈值,并在合理范围内尽可能减少会话超时阈值,这可以降低会话劫持和重复攻击的风险。超过会话超时阈值后,将破坏会话并删除会话信息。
2)在会话中的同时连接的数量应是有限的,来自同一用户的同时连接的数量应被限制,以防止恶意用户创建的多个并发会话占用系统资源,影响服务的可用性。
3)必须保证机密信息的通信渠道是安全的。建议在客户端和Web服务器之间使用SSL。并正确配置SSL,我们建议使用SSL3.0 / TLS1.0或更高,所述对称加密密钥的长度为不小于128位,的非对称密钥加密的长度不小于1024个比特,值单向散列不小于128.很少
4)注册记录的范围应涵盖每个用户的关键操作。、重要行为、重要事件,例如服务资源的使用。由于异常的用户会话、发布的账户信息和其他行为异常、代码修改,以及关键业务操作的管理员帐号和控制功能的开始;
5)在Web程序联机或更新之前,必须对代码进行审计以准备报告,并且必须更新和改进审计问题的代码;
6)禁止用户密码以明文形式传输。建议使用SSL加密隧道来保证用户密码传输的安全性。
7)关键业务操作,例如修改用户认证和认证信息(诸如密码和恢复响应、移动电话号码、结合等问题)必须验证两次,以避免其欺诈性使用作为用户的身份。造成损失;
8)避免产生泄漏信息的身份验证错误。当身份验证失败时,用户必须向用户提供常规错误消息。如果是帐户或密码错误,则不应区分,以防止攻击者使用错误消息;
9)支持密码策略设置,支持从企业制度层面强制密码策略,包括密码复杂性长度、、更换周期等,特别是管理员密码企业制度;
10)必须支持帐户锁定功能。系统应限制连续登录失败的次数。在客户端多次尝试失败后,服务器必须在短时间内阻止用户的帐户,并且锁定策略支持配置的解锁时间。
11)必须采取会话保护措施,以防止软件和服务器之间的会话被更改。
中文
电话咨询
微信咨询
公众号
