凭证校验 禁止在响应中返回验证码,服务器端同时校验密码、短信验证码等凭证信息,防止出现多阶段认证绕过的漏洞。...在多个验证操作中,要对各验证机制进行排序,以防出现跳过前面验证机制直接到最后步认证的安全风险
密码使用 应用开发中禁止设置万能密码、硬编码明文的密 码、使用数据库管理员账户操作、不同用户公用账 户操作或者将密码输出到日志文件或者控制台...Cookie安全设置 会话标识符应放置在HTP或HTPS协议的头信息安全中,禁止以GET参数进行传递、在错误信息和日志中记录会话标识符
防止CSRF攻击 服务器端执行了完整的会话管理机制,保证每个会防止...文件访问设置 进行文件下载时,应以二进制形式下载,建议不提供直接访问(防止木马文件直接执行)
3.8 接口安全
说明 检查项
网络限制 调用方网络限制,比如通过防火墙、主机host和Nginx deny...一旦出现异常,应该在日志中完整记录异常的发生时间、代码位置、报错详情、触发错误的可能用户等,重要系统的严重异常应该有报警的机制,及时通知系统运营者及时排查并修复题
自定义错误信息 在生产环境下,应用程序不应在其响应中返回任何系统生成的消息或其他调试信息