IRS应用发布之十五:应用安全自测指南
朱阳晖
安全要求
-
系统使用所有第三方组件必须为最新无已知公开漏洞版本。
-
上架应用必须配置并使用SSL协议, 并且代码和提供的服务中也都使用https协议。
-
上架应用必须使用浙里办账号体系,使用提供的浙里办免登接口获取用户身份信息,禁止自建登陆体系。
-
上架应用所有接口都需要结合有效session值进行用户身份鉴定,避免出现未授权访问及其他权限溢出的情况。
-
如有存储用户文件的场景, 为保证数据安全及稳定性, 禁止文件存储在ECS服务器上, 需使用对象存储OSS存储数据。
抓包改包工具
Tools: Burp Suite
Editions: Community
Download:https://portswigger.net/burp/
或Charles、Fiddler
说明文档:https://portswigger.net/burp/documentation/desktop
端口扫描工具
Tools:Nma
类似资料: