最近服務(wù)器總是被人攻擊蝇摸,頭有點(diǎn)大度气。以前接觸到的安全問題比較少校哎,所以以后所有的安全問題都匯總在這里吧薄辅。
2019.8.20 已經(jīng)做的安全措施:
(1)https安全證書锹雏。由于我們的產(chǎn)品是小程序巴比,小程序要求必須要用https證書。所以加上了這個。
(2)MD5摘要轻绞。每個接口都加上了md5摘要采记。內(nèi)容為參數(shù)+6位隨機(jī)數(shù)+密鑰得到的md5值。這個由于密鑰保存在前端政勃,所以安全問題很大唧龄。小程序能輕易的反匯編,得到前端源碼奸远。
(3)令牌鑒權(quán)既棺。每個用戶都擁有臨時的16位隨機(jī)數(shù)身份,不使用的話兩天后自動過期懒叛。
(4)黑名單功能丸冕。把被列入黑名單的用戶禁止訪問任何接口。
(5)敏感詞審核芍瑞。利用微信提供的接口來做敏感詞審核晨仑,其實(shí)圖片和視頻也應(yīng)該做的,但是沒加上拆檬。
需要注意的點(diǎn):
(1)全部采用post請求洪己,把數(shù)據(jù)都放到data里面,并且用非對稱加密算法加密竟贯,服務(wù)端才能解密答捕。
(2)時間戳+隨機(jī)數(shù)驗(yàn)證請求,防止重放攻擊屑那。
(3)防止橫向越權(quán)和縱向越權(quán)拱镐。
(4)隱私信息放在后端獲取,獲取權(quán)限要把控持际。
需要解決:身份驗(yàn)證沃琅、隱私信息不保存在前端、重放攻擊
