微信小程序 城市服務接入安全檢測

微信小程序城市服務接入安全檢測

當企業(yè)接入微信的城市服務時，必須確保功能的安全性。以下是常見的安全檢查表：

1. XSS

1. 進行輸入校驗：限制長度、確保值類型正確并且不包含特殊字符（如<>’”等）
2. 進行輸出編碼：根據(jù)輸出位置選擇適當?shù)木幋a方式，例如HTML編碼、JavaScript編碼、URL編碼等。
3. 解決輸出到HTML標簽之間時的數(shù)據(jù)處理問題，對這些數(shù)據(jù)進行HTML Entity編碼。
4. 在輸出到HTML屬性里時，對特殊字符進行編碼為&#xHH
5. 在輸出到SCRIPT里時，對這些數(shù)據(jù)進行SCRIPT編碼，只有阿拉伯數(shù)字和字母不被編碼，并且對其他所有字符進行編碼，通過ASCII碼值小于256來判斷是否需要編碼，編碼后輸出格式為\xHH
6. 在輸出到Style屬性里時，對這些數(shù)據(jù)進行CSS編碼，除了阿拉伯數(shù)字和字母外，對其他所有字符進行編碼，通過ASCII碼值小于256來判斷是否需要編碼，編碼后輸出格式為\HH
7. 在輸出到HTML URL時，對這些數(shù)據(jù)進行URL編碼，插入不可信數(shù)據(jù)到HTML頁面的URL中時需進行URL編碼

2. SQL注入

1. 最佳方式是使用預編譯語句，綁定變量
2. 檢查數(shù)據(jù)類型
3. 使用安全函數(shù)，例如php的mysql_real_escape_string
4. 從數(shù)據(jù)庫自身出發(fā)，使用最小權限原則，不要使用dba權限

3. 上傳漏洞

1. 在客戶端和服務器端均對用戶上傳的文件名和文件路徑等進行嚴格的校驗，并且一定要在服務端進行檢測
2. 服務器端最好使用白名單過濾的方法，例如只允許jpg文件上傳等操作
3. 應盡量避免將上傳目標路徑放在web目錄下，如果必須存放在web目錄下，則需要去掉該目錄的可執(zhí)行權限
4. 慎用Fckeditor、ewebeditor等第三方上傳組件，歷史上曾出現(xiàn)過多個漏洞

4. Struts2

Struts2框架曾出現(xiàn)許多高危漏洞，這些漏洞足以威脅一個網(wǎng)站的安全，因此應盡量使用最新版本。

5. 信息泄露

1. 線上機器應刪掉測試頁面，例如test.html、phpinfo.php等文件
2. 禁用詳細的錯誤提示
3. 禁止顯示調(diào)試信息
4. 禁止將svn相關文件更新到線上機器，例如.svn/entries

6. 登錄安全

1. 登錄頁面最好加入驗證碼功能
2. 盡量使用https協(xié)議

7. 會話安全

公眾號開發(fā)中，通常會使用openid作為用戶身份標識，使用openid時需要將其設置到cookie中，不要直接拼接到URL中，例如http://www.qq.com/getuser?code=aaaaaa。

8.

<本文由himall原創(chuàng)，商業(yè)轉(zhuǎn)載請聯(lián)系作者獲得授權，非商業(yè)轉(zhuǎn)載請標明：himall原創(chuàng)>