净化 不可信数据需实施各种净化处理时,应彻底删除恶意字符,只留下已知安全的字符,或者在处理前对它们进行适当编码或"转义",如数据输出到应用页面时对其进行HTML编码可防止脚本攻击
合法性校验 不可信数据的合法性校验包括...验证码校验 禁止在响应中返回验证码,验证码校验应在服务端进行
3.4 密码管理
说明 检查项
密码设置 密码设置时,应该满足8位及以上长度,含大小写字母、数字及特殊字符等的要求。...在多个验证操作中,要对各验证机制进行排序,以防出现跳过前面验证机制直接到最后步认证的安全风险
密码使用 应用开发中禁止设置万能密码、硬编码明文的密 码、使用数据库管理员账户操作、不同用户公用账 户操作或者将密码输出到日志文件或者控制台...客户端保存 客户端保存敏感信息时,禁止其表单中的自动填充功能、以明文形式保存敏感信息
服务端保存 服务端保存敏感信息时,禁止在程序中硬编码敏感信息,明文存储用户密码、身份证号、银行卡号、持卡人姓名等敏感信息...在多用户系统中创建文件时应指定合适的访问许可,以防止未授权的文件访问,共享目录中文件的读/写/可执行权限应该使用白名单机制,实现最小化授权。