• 设为首页
  • 点击收藏
  • 手机版
    手机扫一扫访问
    迪恩网络手机版
  • 关注官方公众号
    微信扫一扫关注
    公众号

微信小程序 城市服务接入安全检测

原作者: [db:作者] 来自: [db:来源] 收藏 邀请

safety-specifications

接入微信城市服务,业务方需确保功能安全性。

常见安全检查表

XSS

  1. 输入校验:长度限制、值类型是否正确、是否包含特殊字符(如<>’”等)
  2. 输出编码:根据输出的位置进行相应的编码,如HTML编码、JavaScript编码、URL编码。
  3. 输出到HTML标签之间时,对这些数据进行HTML Entity编码
  4. 输出到HTML属性里时,特殊字符编码为&#xHH
  5. 输出到SCRIPT里时,对这些数据进行SCRIPT编码,除了阿拉伯数字和字母,对其他所有的字符进行编码,只要该字符的ASCII码小于256。编码后输出的格式为\xHH
  6. 输出到Style属性里时,对这些数据进行CSS编码,除了阿拉伯数字和字母,对其他所有的字符进行编码,只要该字符的ASCII码小于256。编码后输出的格式为\HH
  7. 输出到HTML URL里时,对这些数据进行URL编码,当需要往HTML页面中的URL里插入不可信数据的时候,需要对其进行URL编码

SQL注入

  1. 最佳方式就是使用预编译语句,绑定变量
  2. 检查数据类型
  3. 使用安全函数,例如php的mysql_real_escape_string
  4. 从数据库自身来说,应使用最小权限原则,切记不要使用dba权限

上传漏洞

  1. 在客户端和服务器端对用户上传的文件名和文件路径等项目分别进行严格的检查,尤其是服务端检测不能少
  2. 服务器端的检查最好使用白名单过滤的方法,比如只允许jpg文件上传等
  3. 上传目标路径尽量不在web目录下,如果在web目录下去掉该目录的可执行权限
  4. 慎用Fckeditor、ewebeditor等第三方上传组件,历史上曾出现多个漏洞

Struts2

历史上Struts2框架出过多个高危漏洞,这些漏洞足以黑掉一个网站,要尽量使用最新版本

信息泄漏

  1. 线上机器删掉测试页面,例如test.html,phpinfo.php等
  2. 禁掉详细的错误提示
  3. 禁止显示调试信息
  4. 禁止将svn相关的文件更新到线上机器,例如.svn/entries

登录安全

  1. 登录页面最好加入验证码
  2. 尽量使用https协议

会话安全

公众号开发中通常将openid作为用户身份标识,使用openid时要将openid设置到cookie中不要拼接到URL中例如http://www.qq.com/getuser?code=aaaaaa

管理页面

Tomcat、jboss、weblogic等管理页面可以做以下加个方面的安全策略

使用白名单的方式限制可以登录的IP

如果不使用这些管理界面直接删掉

平行权限问题

像订单等场景需要格外注意平行权限问题,例如order?Id=111,是否order?Id=112就可以看到其他的订单。对于这种情况的防御,可以加入校验参数,order?Id=111&sign=hash(字符串常量+id)

支付金额问题

  1. 涉及到微支付的web应用一定要严格按照微信支付官方网站的文档设计
  2. 确定用户的支付金额与应付金额是否相等



鲜花

握手

雷人

路过

鸡蛋
该文章已有0人参与评论

请发表评论

全部评论

专题导读
上一篇:
微信小程序 城市服务消息通路接口发布时间:2022-02-02
下一篇:
微信小程序 查询欠费用户列表发布时间:2022-02-02
热门推荐
热门话题
阅读排行榜

扫描微信二维码

查看手机版网站

随时了解更新最新资讯

139-2527-9053

在线客服(服务时间 9:00~18:00)

在线QQ客服
地址:深圳市南山区西丽大学城创智工业园
电邮:jeky_zhao#qq.com
移动电话:139-2527-9053

Powered by 互联科技 X3.4© 2001-2213 极客世界.|Sitemap