其它
【原创】web系统安全性改造方向
作者: whooyun发表于: 2025-10-29 16:42
关于web安全的几个想法
0、传输加密,存储加密
1、登陆密码必须使用大小写字母(至少字母)+数字 强密码(基于正则表达式验证)
2、邮箱发送一次性验证码
3、增加google key验证/短信验证码验证(Google Authenticator 的 TOTP 二次验证)
4、登陆token验证(jwttoken,sa-token)
5、基于RBAC的角色权限验证,数据权限验证(spring security,shiro,mybatis-flex)
6、手机号,地址,idcard需要进脱敏(mybatis-flex的BaseTypeHandler或者MaskManager的columnMask)
7、增加google防爬虫验证或自行开发浏览器指纹验证(Google 人机验证reCAPTCHA)
8、敏感接口增加(ip)白名单,增加部分接口每秒能调用的限制次数,或者必须使用vpn访问
9、敏感操作由工单形式多级审核进行操作
0、传输加密,存储加密
1、登陆密码必须使用大小写字母(至少字母)+数字 强密码(基于正则表达式验证)
2、邮箱发送一次性验证码
3、增加google key验证/短信验证码验证(Google Authenticator 的 TOTP 二次验证)
4、登陆token验证(jwttoken,sa-token)
5、基于RBAC的角色权限验证,数据权限验证(spring security,shiro,mybatis-flex)
6、手机号,地址,idcard需要进脱敏(mybatis-flex的BaseTypeHandler或者MaskManager的columnMask)
7、增加google防爬虫验证或自行开发浏览器指纹验证(Google 人机验证reCAPTCHA)
8、敏感接口增加(ip)白名单,增加部分接口每秒能调用的限制次数,或者必须使用vpn访问
9、敏感操作由工单形式多级审核进行操作