安全审查常见要求

一、是否有密码复杂度策略、是否有密码有效期

1)密码长度至少8位;

2)要求用户密码必须包含大小写字母、数字、特殊字符

3)避免常见密码 123456,qwerty, password;

  1. 强制用户定期修改密码;

5)限制尝试登录次数;

6)双因素身份证验证,要求用户使用两个或两个以上身份因素验证,如密码、手机验证码或指纹、邮件验证码、人脸识别;

二、是否有登录失败处理功能?是否有登录连接超时自动退出功能

1) 控制尝试登录次数3次,超过3次锁定帐户30~60分钟;

2)基于 Token 的身份验证机制,后端在用户登录成功后生成一个 Token,并返回给前端。前端将 Token 存储在本地(通常使用 LocalStorage 或者 Cookie)。前端可以在每个请求的请求头中携带 Token,后端根据 Token 验证用户身份和刷新会话时间。如果用户在一定时间内没有发送请求,后端会话自动失效,用户需要重新登录。(注:这种方式要求帐户登录是独占的,另外一台电脑用同一个帐户登录时,前面登录的用户token将会失效)

三、应用系统日志备份策略是什么?如 怎么进行备份的?备份到哪里?备份周期?

四、应用系统是否定期漏扫?如有请提供漏扫报告,并说明漏扫周期

几款开源免费的web漏洞扫描工具

4.1 OWASP ZAP

OWASP ZAP 是一款功能强大的 Web 漏洞扫描工具,可以帮助用户发现和修复 Web 应用程序中的漏洞。它支持多种平台,包括 Windows。ZAP 提供了易于使用的界面,并支持自定义脚本和插件,以扩展其功能。

下载地址: https://www.zaproxy.org/download/

4.2 Arachni

Arachni 是一款全面的 Web 应用程序安全测试框架,具有自动化测试的能力。它提供了易于使用的 Web 界面,并支持自定义脚本和插件。Arachni 可以运行在 Windows 系统上,以及其他多种平台上。

下载地址:https://github.com/Arachni/arachni/releases/tag/v1.6.1.3

五、重要数据备份策略是什么?如 怎么进行备份的?备份到哪里?备份周期?

定期备份,多样性备份(云存储备份、本地备份)

备份周期(每天或每周...,依据数据重要性而定)

六、是否进行异地备份?如 怎么进行备份的?备份到哪里?备份周期?

备份到异地区域的机房,或者手动备份至线下。

七、应用系统是否收集基础个人信息和个人敏感信息?如姓名、身份证、手机号等

相关推荐
Hacker_LaoYi21 分钟前
网络安全与加密
安全·web安全
Koi慢热1 小时前
路由基础(全)
linux·网络·网络协议·安全
hzyyyyyyyu3 小时前
内网安全隧道搭建-ngrok-frp-nps-sapp
服务器·网络·安全
网络研究院3 小时前
国土安全部发布关键基础设施安全人工智能框架
人工智能·安全·框架·关键基础设施
Daniel 大东4 小时前
BugJson因为json格式问题OOM怎么办
java·安全
EasyNVR9 小时前
NVR管理平台EasyNVR多个NVR同时管理:全方位安防监控视频融合云平台方案
安全·音视频·监控·视频监控
黑客Ash11 小时前
【D01】网络安全概论
网络·安全·web安全·php
阿龟在奔跑13 小时前
引用类型的局部变量线程安全问题分析——以多线程对方法局部变量List类型对象实例的add、remove操作为例
java·jvm·安全·list
.Ayang13 小时前
SSRF漏洞利用
网络·安全·web安全·网络安全·系统安全·网络攻击模型·安全架构
.Ayang13 小时前
SSRF 漏洞全解析(概述、攻击流程、危害、挖掘与相关函数)
安全·web安全·网络安全·系统安全·网络攻击模型·安全威胁分析·安全架构