1.sql注入攻擊
伺服器端程式有時希望接受客戶端輸入並且將他作為查詢的一部分
例如:乙個接收使用者名稱的登入介面可能執行以下**:
sql=select * from users where username=?如果客戶端輸入以下字串作為使用者名稱
a';delete from users;sql=select * from users where username=a';delete from users;如果這條語句被執行,那麼users表中的資料就會被刪除
對策:1.禁止輸入特殊字元,如百分號,單引號,雙引號
2.禁止輸入敏感字元,如update,insert,delete
3.對特殊字元進行轉義
2、跨站指令碼攻擊
對策:1.在介面輸入中,禁止輸入指令碼
2.在把資料存入資料庫之前,以及從資料庫取出資料後,進行html轉義
3.拒絕攻擊
假設乙個登入頁面。攻擊者可以編寫**,簡單地加入乙個迴圈來嘗試用不同的使用者名稱/密碼登入,獲得合法客戶身份
支付安全考慮
1.網銀類 像招行支付 工行支付 西聯快匯等 2.綜合電子錢包類 像支付寶 快錢 易寶 paypal moneybookers facebook credits等 3.虛實卡類 神州行 mycrad gash 駿網一 崑崙一 mol等 4.固話聲訊類 像杭州齊順 daopay等 5.手機簡訊類 像聯...
Open API安全考慮
很初級的簡單想法,先記下來。需要有個年輕聰明的青年才俊論證一下 1 是否用https,這些就沒有必要了。2 嚴謹性 是否有漏洞,這麼做安全性依賴哪些要素,能多大程度上保證。3 必要性 是否有冗餘環節。4 效能 壓一下,注意監控cpu。以下是正文。1 所有的秘鑰都由我們生成並頒發。2 我們需要儲存 1...
開放API設計安全考慮
1.加密敏感資料保證安全,非對稱演算法rsa和對稱演算法des sm4等 2.摘要演算法md5防止篡改,演算法中增加鹽值 雙方約定的乙個秘密值 增加伺服器時間值,用於判斷呼叫提交時間 3.採用token的方式校驗是否已經登入,乙個是判斷token是否存在,二是token是否過期 4.介面設計需要具有...