开发规范
后端开发规范
代码规范
安全规范
常见 XSS 漏洞及解决方案
常用 XSS 测试 payload
常见越权漏洞及解决方案
常用越权测试方法
常见 CSRF 漏洞及解决方案
常见高危操作及对策
数据库设计和使用规范
MySQL 设计和使用规范
Redis 设计和使用规范
Django最佳实践
Python最佳实践
前端开发规范
HTML规范
CSS规范
JS规范
Vuejs 规范
PerformanceOpti
MobileSpec
安全检查
webpack
其他
测试规范
测试覆盖范围
测试隔离
-
+
首页
常见高危操作及对策
## 1 场景 1:权限控制不严格 ### 1.1 描述 调用第三方敏感接口 ,没有校验权限 ### 1.2 对策 1. 前端采用下拉框的方式,选择服务器地址,限定选择范围 2. 无论是用户输入,还是通过下拉框选择输入服务器地址,在后台一定要校验,人员对业务的操作权限,业务对服务器的操作权限 3. 页面显示业务信息时,需要校验人员对展示信息的权限,避免敏感信息泄露 ## 2 场景 2:预留操作后门 ### 2.1 描述 开发人员为了方便初始化数据、测试功能、定位问题,通过 URL、DB 配置等方式,开通操作后门 ### 2.2 对策 1. 尽量不要开通后门,如果一定需要后门,请限制使用次数,使用完毕即时关闭, 2. 后门操作一定要鉴权,最小化后门的操作人员数量,如果长期留置后门,需要报备产品 3. 使用后门时,需要避开访问高峰期 ## 3 场景 3:不同环境操作没有隔离 ### 3.1 描述 开发环境、测试环境和正式环境的数据、接口共享 ### 3.2 对策 1. 在开发环境、测试环境进行操作时,一定要控制在尽量小的范围,不要进行未报备的大规模测试,同时要限制 `root` 账号的权限 2. 开发环境、测试环境数据尽量与正式环境隔离,如果不能隔离,一定要向产品报备风险,告知测试人员 3. 使用 API 或者 migrations 方式初始化关键数据(如手机号,邮箱等)时根据环境区分数据源
吴晓俊
2024年7月15日 15:53
转发文档
收藏文档
上一篇
下一篇
手机扫码
复制链接
手机扫一扫转发分享
复制链接
Markdown文件
分享
链接
类型
密码
更新密码