上次和其他部门的项目经理聊了一下关于安全的问题,她让我总结一下有关于的安全方面的防御措施。由于在防御方面比较薄弱,只能靠自己去想,自己凭经验去防御。于是总结了一下五点:
1.使用目前市场上免费的安全工具扫描,规定多久扫描一次
2.建议后台地址复杂化,避免字典爆破的风险
3.针对登录和支付环节会一直被撞库的风险,建议方案:记录撞库的ip地址和设置超过多少次之后设置验证码
4.建立数据库日志、平台操作日志、后台操作日志。建立日志后,规定日志保存有效时间
5.建议对上传附件的控件进行严格的安全测试