3

我在整个互联网上搜索,试图获得有关像网上银行网站这样真正安全的网站的安全实践的指导,但没有找到任何东西。

我的兴趣是了解您在以下领域使用的做法:

  1. 通信:绝对使用 SSL ......任何额外的技巧来防止“中间人”攻击。
  2. 身份验证:用户名 + 密码 + 验证码 + 时间限制 + 强制定期更改。
  3. 页面之间的导航:有这样的事情吗?
  4. 防止 XSS 和 XSRF:已经在平台中。
  5. 加密客户端和服务器上的敏感数据:到底是什么?客户端上应该有敏感数据吗?
  6. 微调授权:显示/隐藏 + 执行命令 + 权限。
  7. 审计?什么 ?以及这与日志记录有何不同。
  8. 页面级安全性:防止对页面内容的操纵(我们真的需要这个吗?)

以及如何检测渗透企图?监控 IP,锁定某些帐户...?有没有办法测试或模拟威胁?

4

1 回答 1

1

我将从 PCI-DSS 指南开始作为保护数据的基准。

PCI-DSS是支付卡行业数据安全标准。这是业界首次尝试制定保护银行业数据的指导方针。该指南专门针对持卡人数据,但通常是保护数据的重要资源。PCI 要求包括年度现场审核和季度网络扫描。

另一个很好的资源是OWASP,它提供了有关 Web 应用程序安全性的一般指南

OWASP 详细介绍了如何执行威胁建模、测试(和纠正)常见漏洞。要快速入门,请前往OWASP 前十名

于 2010-10-14T06:39:29.053 回答