常用安全注意点及解决方案
1、 绕过前端或安全验证直接调用业务接口:(一般解决方法:服务端不要把安全校验的代码和具体业务代码分开为2个接口,如提现密码的校验与提现业务不要分2个接口)
2、 CSRF攻击:利用(而非获取)安全值如登录态(如cookie中的登录token)攻击接口(一般解决方法:前端、服务端配合,用随机数或目前比较常用的手机验证码或第三方极验)
3、 暴力破解(一般解决方法:前端、服务端、产品设计配合做接口调用频次限制)
4、 业务漏洞(一般解决方法:熟悉业务)
5、 并发:提起并发,大家可能更多的是并发性能瓶颈优化,如分表分库,数据库优化,缓存,消息队列等等,这里不是讲这方面,而是在并发情况资源竞争或脏读数据,最终会导致我们的数据可能是错误的,解决方法如对象锁、事务、数据库锁、乐观锁等
6、 XSS攻击(一般解决方法:前端编码或参数限制、服务端编码)
7、 SQL注入(一般解决方法:服务端sql参数化)
禁止转载
我的公众号,谢谢关注:
