@哈哈鱼
2年前 提问
1个回答
web业务可能存在哪些风险点
一颗小胡椒
2年前
web业务可能存在以下风险点:
业务环节存在的风险:主要是用户可见的,如注册登录等是否有完善的身份验证机制,cookie session 机制,验证码能否被爆破等;
支撑系统存在的风险:用户访问控制机制是否完善,是否存在水平或垂直越权,用户数据是否加密存储,是否明文传输,是否存在未授权的接口调用,重放遍历等;
业务环节间存在的风险:业务流程是否存在乱序,是否可以跳过、回退或者是重放。环节间的数据传输是否有一致性校验以及加密机制,是否可以被监听、窃取、篡改或者重放;
支撑系统间存在的风险:系统间传递的参数是否加密,是否能监听窃取或者篡改,是否有着完备的过滤机制来预防 SQLi XSS 等攻击;
业务环节与支撑系统间存在的风险:数据传输是否加密,是否用不完善的加密机制(如:前端加密,简单的md5等),是否能比较好的处理请求的并发,防止出现条件竞争,是否有完善的过滤和编码机制预防 SQLi XSS 等攻击;