《阿里巴巴Java開發手冊(正式版)》--安全規約
1.【強制】隸屬於使用者個人的頁面或者功能必須進行許可權控制校驗。
說明:防止沒有做水平許可權校驗就可隨意訪問、操作別人的資料,比如檢視、修改別人的訂單。
2.【強制】使用者敏感資料禁止直接展示,必須對展示資料脫敏。
說明:檢視個人手機號碼會顯示成:158****9119,隱藏中間 4位,防止隱私洩露。
3.【強制】使用者輸入的 SQL引數嚴格使用引數繫結或者 METADATA欄位值限定,防止 SQL隱碼攻擊,禁止字串拼接 SQL訪問資料庫。
4.【強制】使用者請求傳入的任何引數必須做有效性驗證。
說明:忽略引數校驗可能導致:
- page size過大導致記憶體溢位
- 惡意 order by導致資料庫慢查詢
- 任意重定向
- SQL隱碼攻擊
- 反序列化注入
- 正則輸入源串拒絕服務 ReDoS
說明:Java 程式碼用正則來驗證客戶端的輸入,有些正則寫法驗證普通使用者輸入沒有問題,但是如果攻擊人員使用的是特殊構造的字串來驗證,有可能導致死迴圈的效果。
5.【強制】禁止向 HTML頁面輸出未經安全過濾或未正確轉義的使用者資料。
6.【強制】表單、AJAX提交必須執行 CSRF安全過濾。
說明:CSRF(Cross-site request forgery)跨站請求偽造是一類常見程式設計漏洞。對於存在CSRF漏洞的應用/網站,攻擊者可以事先構造好 URL,只要受害者使用者一訪問,後臺便在使用者不知情情況下對資料庫中使用者引數進行相應修改。
7.【強制】在使用平臺資源,譬如簡訊、郵件、電話、下單、支付,必須實現正確的防重放限制,如數量限制、疲勞度控制、驗證碼校驗,避免被濫刷、資損。
說明:如註冊時傳送驗證碼到手機,如果沒有限制次數和頻率,那麼可以利用此功能騷擾到其它使用者,並造成簡訊平臺資源浪費。
8.【推薦】發貼、評論、傳送即時訊息等使用者生成內容的場景必須實現防刷、文字內容違禁詞過濾等風控策略。
本文整理自:《阿里巴巴Java開發手冊(正式版)》
整理本文的目的是方便自己閱讀,標註等,如有侵權,立馬刪除。
作者:jiankunking 出處:http://blog.csdn.net/jiankunking
相關文章
- 《阿里巴巴Java開發手冊(正式版)》--MySQL規約阿里JavaMySql
- 《阿里巴巴Java開發手冊(正式版)》--工程規約阿里Java
- 《阿里巴巴Java開發手冊(正式版)》--程式設計規約阿里Java程式設計
- 阿里巴巴Java開發手冊之安全規約(五)——-我的經驗阿里Java
- 阿里巴巴Java開發規範手冊阿里Java
- 阿里巴巴Java開發手冊之工程規約(四)——-我的經驗阿里Java
- 《阿里巴巴Java開發手冊(正式版)》--異常日誌阿里Java
- 阿里巴巴Android開發手冊(正式版)阿里Android
- 阿里巴巴Java開發手冊阿里Java
- 阿里巴巴java開發手冊筆記阿里Java筆記
- 阿里巴巴Java開發手冊評述阿里Java
- 阿里巴巴 Java 開發手冊評述阿里Java
- 《阿里巴巴 Java開發手冊》讀後感阿里Java
- 阿里巴巴Java開發手冊閱讀筆記阿里Java筆記
- Web安全開發規範手冊V1.0Web
- Web 安全開發規範手冊 V1.0Web
- 白話阿里巴巴Java開發手冊高階篇阿里Java
- 由阿里巴巴Java開發規約HashMap條目引發的故事阿里JavaHashMap
- 阿里java開發手冊阿里Java
- Web前端開發規範手冊Web前端
- 你不知道的《阿里巴巴Java開發手冊》背後故事阿里Java
- 安卓開發開發規範手冊V1.0安卓
- 安卓開發開發規範手冊 V1.0安卓
- 阿里巴巴java開發手冊容易忽視的幾個知識點阿里Java
- 阿里Java開發手冊思考(三)阿里Java
- 阿里Java開發手冊思考(一)阿里Java
- 阿里Java開發手冊思考(二)阿里Java
- Java開發手冊精華總結Java
- 阿里Java開發手冊思考(五)阿里Java
- 阿里Java開發手冊思考(四)阿里Java
- 阿里JAVA手冊之MySQL資料庫(建表規約、索引規約、SQL語句、ORM對映)阿里JavaMySql資料庫索引ORM
- 安全檔案和大物件開發手冊物件
- 阿里巴巴Android開發手冊V1.0.0隨手筆記阿里Android筆記
- Java Web程式開發參考手冊JavaWeb
- 閱讀《阿里巴巴Android開發手冊1.0.1》筆記阿里Android筆記
- 預約下載 | 《Serverless 開發速查手冊》全新上線Server
- 在Gradle中使用阿里巴巴Java開發規約外掛進行程式碼檢查Gradle阿里Java行程
- 火速下載!《阿里巴巴Android開發手冊》重磅釋出!阿里Android