Alibaba开发规范_安全规约:最佳实践与常见陷阱
https://i-blog.csdnimg.cn/direct/028745c48d464ffa9e3e83f5d773b679.png一、安全规约概述
随着互联网应用的普及,安全标题变得愈加严肃。攻击本事日益复杂,攻击者的动机和技术本事也不绝发展,给开发职员带来了巨大的挑战。为了应对这些挑战,必须遵循一系列的安全规约。这些规约涉及用户数据保护、权限控制、输入验证等多个方面,目标是最大限度地制止潜伏的安全毛病,保障用户信息和系统的安全性。
二、常见的安全规约
1. 用户个人页面和功能必须进行权限控制校验
在开发涉及用户个人数据的系统时,必须确保页面或功能能够进行权限控制校验。这意味着用户只能访问自己的数据,不能随意访问、修改或删除他人的数据。常见的权限控制方法包括角色权限控制(RBAC)、基于属性的访问控制(ABAC)等。
典范标题
[*]没有做水平权限校验:用户能随意查察或修改他人的私信内容、订单信息等敏感数据。
[*]办理方案:在每个哀求的处理环节,都应该校验当前用户是否有权限实行该操作。如果没有权限,应该直接返回授权错误信息。
// 假设我们有一个 UserController,用于处理用户相关的操作
@RestController
@RequestMapping("/user")
public class UserController {
@Autowired
private UserService userService;
// 获取用户信息
@GetMapping("/{userId}")
public ResponseEntity<User> getUserInfo(@PathVariable("userId") Long userId, Authentication authentication) {
// 获取当前登录用户的ID
Long currentUserId = (Long) authentication.getPrincipal();
// 校验当前用户是否有权限查看该用户信息
if (!currentUserId.equals(userId)) {
return ResponseEntity.status(HttpStatus.FORBIDDEN).body(null); // 权限不足
}
// 获取并返回用户信息
User user = userService.getUserById(userId);
return ResponseEntity.ok(user);
}
}
2. 用户敏感数据克制直接展示,必须脱敏处理
为了保护用户隐私,所有用户的敏感信息(如身份证号、手机号码、银行卡号等)都应进行脱敏处理。脱敏不仅保护用户隐私,还能防止数据泄露。在中国大陆,个人手机号码常常会被脱敏显示为“137****0969”,这样可以有效保护用户的隐私。
办理方案
[*]脱敏方法:敏感数据应根据业务需求和隐私保护要求进行得当的脱敏处理,如部分隐藏中央位数、使用星号替换等。
[*]脱敏场景:对于显示敏感数据的所有页面,都应该实现脱敏处理,确保敏感数据不会泄露。
// 用户实体类中的手机号码字段脱敏
public class User {
private String username;
@JsonInclude(JsonInclude.Include.NON_NULL)
private String phoneNumber;
// 获取脱敏后的手机号码
public String getPhoneNumber() {
if (phoneNumber != null && phoneNumber.length() > 4) {
return phoneNumber.substring(0, 3) + "****" + phoneNumber.substring(7);
}
return phoneNumber;
}
// 其他字段和方法
}
3. 用户输入的 SQL 参数必须严格使用参数绑定
SQL 注入是一种常见的攻击方式,通过构造恶意的 SQL 语句,攻击者可以操作数据库,获取、删除、修改数据,甚至长途实行恶意命令。为了防止 SQL 注入,必须严格使用参数化查询或预编译语句。
典范标题
[*]字符串拼接 SQL:如果直接使用用户输入的值拼接 SQL 查询语句,容易导致 SQL 注入攻击。
办理方案
[*]使用参数绑定:所有 SQL 查询语句都应使用参数化查询,制止直接拼接字符串。比如使用 Java 的 PreparedStatement 大概 ORM 框架(如 Hibernate)来处理查询参数。
// 不安全的写法
String sql = "SELECT * FROM users WHERE username = '" + username + "'";
// 安全的写法,使用参数绑定
PreparedStatement stmt = connection.prepareStatement("SELECT * FROM users WHERE username = ?");
stmt.setString(1, username);
ResultSet rs = stmt.executeQuery();
4. 用户哀求传入的参数必须做有效性验证
输入验证是防止恶意攻击(如 SQL 注入、反序列化注入、ReDoS、XSS 等)的第一道防线。开发职员必须确保所有用户传入的参数都经过有效的验证。常见的毛病包括:
[*]SQL 注入:恶意用户通过构造特殊字符(如 ', --, /* 等)进行 SQL 注入攻击。
[*]ReDoS(正则表达式拒绝服务):恶意用户通过构造特殊字符串,使得正则表达式在校验过程中进入死循环,消耗大量系统资源。
[*]反序列化注入:攻击者通过发送恶意的序列化数据,触发反序列化毛病,进而实行恶意代码。
办理方案
[*]验证输入合法性:对用户输入的所有参数进行范例、长度、格式等的校验,并制止使用不安全的正则表达式。
[*]限制查询范围:对于分页查询的参数如 page size,应该设定合理的限制,防止因过大哀求引起的内存溢出。
// 示例:验证分页参数,防止过大参数引发内存溢出等问题
public void validatePageSize(int pageSize) {
if (pageSize <= 0 || pageSize > 100) {
throw new IllegalArgumentException("Page size must be between 1 and 100");
}
}
// 正则验证用户输入的邮箱地址,防止ReDoS攻击
public boolean isValidEmail(String email) {
String regex = "^[\\w-]+(\\.[\\w-]+)*@[\\w-]+(\\.[\\w-]+)+$";
Pattern pattern = Pattern.compile(regex);
Matcher matcher = pattern.matcher(email);
return matcher.matches();
}
5. 克制向 HTML 页面输出未经安全过滤或未精确转义的用户数据
跨站脚本攻击(XSS)是指攻击者通过向网页中注入恶意脚本代码,劫持用户的会话、盗取用户数据等。为了防止 XSS 攻击,必须对所有用户输入的内容进行精确的 HTML 转义,制止将未经处理的用户数据直接渲染到页面上。
办理方案
[*]HTML 转义:使用专门的 HTML 转义库,制止直接输出用户输入的数据。
[*]防御 XSS:在页面渲染时,应该对用户输入的数据进行转义,以防止恶意脚本的注入。
// HTML转义:防止XSS攻击
public String escapeHtml(String input) {
if (input == null) {
return null;
}
return HtmlUtils.htmlEscape(input); // 使用Spring的HtmlUtils类进行HTML转义
}
// 示例:输出用户输入的内容时进行转义
public void renderUserComment(String comment) {
String safeComment = escapeHtml(comment);
// 将safeComment输出到HTML页面
}
6. 表单、AJAX 提交必须实行 CSRF 安全验证
跨站哀求伪造(CSRF)攻击答应攻击者通过伪造哀求来篡改用户的数据。为了防止 CSRF 攻击,必须在表单提交或 AJAX 哀求中添加 CSRF Token,确保哀求是由合法用户发起的。
办理方案
[*]CSRF Token:在每次哀求时,天生唯一的 CSRF Token,并将其嵌入到表单中或通过 AJAX 哀求发送。服务器验证该 Token,确保哀求来源的合法性。
// CSRF Token验证(Spring Security自动提供CSRF防护)
@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
http.csrf().csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse());
// 其他安全配置
}
}
// 在表单提交时附带CSRF Token
<form action="/updateProfile" method="POST">
<input type="hidden" name="_csrf" value="${_csrf.token}" />
<!-- 其他表单元素 -->
</form>
7. 必须实现防重放机制
重放攻击是指攻击者通过截获并重新发送合法的哀求,从而伪造用户操作。为防止重放攻击,应接纳肯定的防重放机制,如哀求的唯一标识符、验证码、频率限制等。
办理方案
[*]哀求唯一标识符:每个哀求都应该带上唯一的标识符,防止哀求被重放。
[*]频率限制:限制哀求的频率,防止恶意用户通过大量哀求造成系统资源浪费。
// 使用验证码防止滥用(短信验证码示例)
public class SmsService {
private Map<String, Long> smsRequestTimestamp = new HashMap<>();
private static final int COOLDOWN_TIME = 60 * 1000; // 1 minute cooldown time
public boolean sendSms(String phoneNumber) {
long currentTime = System.currentTimeMillis();
// 检查是否超过冷却时间
if (smsRequestTimestamp.containsKey(phoneNumber) &&
currentTime - smsRequestTimestamp.get(phoneNumber) < COOLDOWN_TIME) {
return false; // 短信请求过于频繁
}
// 发送短信逻辑(省略)
smsRequestTimestamp.put(phoneNumber, currentTime); // 记录发送时间
return true;
}
}
8. 用户天生内容的场景必须实现风控战略
在用户天生内容(UGC)的场景中,如发帖、评论、发送即时消息等,攻击者大概通过恶意内容、刷屏、发布违禁词等方式干扰系统。为此,必须实现防刷、内容过滤等风控战略。
办理方案
[*]防刷机制:限制用户的发帖、评论频率,制止垃圾信息的泛滥。
[*]违禁词过滤:对用户提交的内容进行审查,过滤掉敏感词或不符合规定的内容。
// 防刷机制:限制发帖频率
public boolean canPost(String userId) {
Long lastPostTime = userPostTimestamp.get(userId);
long currentTime = System.currentTimeMillis();
if (lastPostTime != null && currentTime - lastPostTime < 3000) { // 3秒钟内不能发帖
return false;
}
// 更新发帖时间
userPostTimestamp.put(userId, currentTime);
return true;
}
// 违禁词过滤
public String filterBadWords(String content) {
List<String> badWords = Arrays.asList("illegal", "spam", "badword");
for (String word : badWords) {
content = content.replaceAll("(?i)" + word, "****"); // 替换违禁词为星号
}
return content;
}
三、小结
安满是软件开发中的一个焦点要素,特殊是在涉及到用户数据和交互的系统中。为了保护用户信息,防止各种恶意攻击,开发职员必须遵守严格的安全规约。这些规约包括权限控制、数据脱敏、SQL 注入防护、输入验证、XSS 防护等方面。通过合理的计划和安全步伐,可以大大进步系统的安全性,制止因毛病导致的数据泄露、服务停止等标题。
https://i-blog.csdnimg.cn/direct/0ba9e248cb194ace85f0b3fed60706eb.jpeg#pic_center
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]