-
Notifications
You must be signed in to change notification settings - Fork 39
Expand file tree
/
Copy pathsecurity-suggestion.html
More file actions
276 lines (162 loc) · 10.5 KB
/
Copy pathsecurity-suggestion.html
File metadata and controls
276 lines (162 loc) · 10.5 KB
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
<!DOCTYPE html>
<!--[if IE 8]><html class="no-js lt-ie9" lang="zh-CN" > <![endif]-->
<!--[if gt IE 8]><!--> <html class="no-js" lang="zh-CN" > <!--<![endif]-->
<head>
<meta charset="utf-8">
<meta name="viewport" content="width=device-width, initial-scale=1.0">
<title>安全建议 — WeIdentity 文档</title>
<link rel="stylesheet" href="../_static/css/theme.css" type="text/css" />
<link rel="stylesheet" href="../_static/pygments.css" type="text/css" />
<link rel="stylesheet" href="../_static/theme_overrides.css" type="text/css" />
<link rel="stylesheet" href="../_static/index.css" type="text/css" />
<link rel="index" title="索引" href="../genindex.html" />
<link rel="search" title="搜索" href="../search.html" />
<script src="../_static/js/modernizr.min.js"></script>
</head>
<body class="wy-body-for-nav">
<div class="wy-grid-for-nav">
<nav data-toggle="wy-nav-shift" class="wy-nav-side">
<div class="wy-side-scroll">
<div class="wy-side-nav-search">
<a href="../index.html" class="icon icon-home"> WeIdentity
</a>
<div role="search">
<form id="rtd-search-form" class="wy-form" action="../search.html" method="get">
<input type="text" name="q" placeholder="Search docs" />
<input type="hidden" name="check_keywords" value="yes" />
<input type="hidden" name="area" value="default" />
</form>
</div>
</div>
<div class="wy-menu wy-menu-vertical" data-spy="affix" role="navigation" aria-label="main navigation">
<p class="caption"><span class="caption-text">Contents:</span></p>
<ul>
<li class="toctree-l1"><a class="reference internal" href="../README.html">什么是 WeIdentity?</a></li>
<li class="toctree-l1"><a class="reference internal" href="one-stop-experience.html">WeIdentity 一站式体验</a></li>
<li class="toctree-l1"><a class="reference internal" href="terminologies.html">术语</a></li>
<li class="toctree-l1"><a class="reference internal" href="use-cases.html">使用场景</a></li>
<li class="toctree-l1"><a class="reference internal" href="weidentity-spec.html">WeIdentity 规范</a></li>
<li class="toctree-l1"><a class="reference internal" href="weidentity-installation.html">WeIdentity Java SDK 安装部署</a></li>
<li class="toctree-l1"><a class="reference external" href="https://weidentity.readthedocs.io/projects/javasdk/zh_CN/latest/">WeIdentity Java SDK 文档</a></li>
<li class="toctree-l1"><a class="reference internal" href="weidentity-sample.html">WeIdentity Sample 开发样例</a></li>
<li class="toctree-l1"><a class="reference internal" href="miscellaneous.html">杂项</a></li>
<li class="toctree-l1"><a class="reference internal" href="faq.html">FAQ</a></li>
<li class="toctree-l1"><a class="reference internal" href="weidentity-rest.html">WeIdentity RestService</a></li>
<li class="toctree-l1"><a class="reference internal" href="weidentity-endpoint.html">WeIdentity Endpoint Service</a></li>
<li class="toctree-l1"><a class="reference internal" href="weidentity-contract-design.html">WeIdentity 智能合约设计与实现</a></li>
</ul>
</div>
</div>
</nav>
<section data-toggle="wy-nav-shift" class="wy-nav-content-wrap">
<nav class="wy-nav-top" aria-label="top navigation">
<i data-toggle="wy-nav-top" class="fa fa-bars"></i>
<a href="../index.html">WeIdentity</a>
</nav>
<div class="wy-nav-content">
<div class="rst-content">
<div role="navigation" aria-label="breadcrumbs navigation">
<ul class="wy-breadcrumbs">
<li><a href="../index.html">Docs</a> »</li>
<li>安全建议</li>
<li class="wy-breadcrumbs-aside">
<a href="../_sources/docs/security-suggestion.md.txt" rel="nofollow"> View page source</a>
</li>
</ul>
<hr/>
</div>
<div role="main" class="document" itemscope="itemscope" itemtype="http://schema.org/Article">
<div itemprop="articleBody">
<div class="section" id="">
<span id="id1"></span><h1>安全建议<a class="headerlink" href="#" title="永久链接至标题">¶</a></h1>
<div class="section" id="">
<span id="id2"></span><h2>1.网络安全:<a class="headerlink" href="#" title="永久链接至标题">¶</a></h2>
<ul class="simple">
<li><p>与合作方传输数据需要使用加密协议,并验证身份有效性,如通讯使用 HTTPS</p></li>
<li><p>接口数据除了 HTTPS,接口内容尽量再次加密</p></li>
<li><p>防中间人劫持,APP 写死服务器的证书(可定期下发更换),APP 连接到服务器前,会检查是否证书对的上</p></li>
<li><p>网络区域隔离: 如生产与开发、测试、办公隔离</p></li>
<li><p>外网出口部署流量清洗、DDOS 防护等安全措施(可以使用云服务商或者运营服务厂商提供的服务)</p></li>
</ul>
</div>
<div class="section" id="">
<span id="id3"></span><h2>2.主机安全:<a class="headerlink" href="#" title="永久链接至标题">¶</a></h2>
<ul class="simple">
<li><p>主机防护:提供外网服户的 WEB 系统请求应经 WAF 过滤,降低恶意请求访问的风险;IDS 入侵检测</p></li>
<li><p>主机防入侵检测,可使用云服务提供商的防入侵检测服务</p></li>
<li><p>Windows 机器部署杀毒软件</p></li>
<li><p>接入业务风控(接入反欺诈/常用设备监控)</p></li>
<li><p>不允许非标准操作系统及非标准软件,例如破解或者盗版软件</p></li>
<li><p>禁止使用弱密码,建立弱密码扫描检测机制</p></li>
<li><p>禁止开放高危端口和服务</p></li>
</ul>
</div>
<div class="section" id="">
<span id="id4"></span><h2>3.数据安全:<a class="headerlink" href="#" title="永久链接至标题">¶</a></h2>
<ul class="simple">
<li><p>iOS 防双击 Home 键系统屏幕截图信息泄漏(加模糊或者新生成图片,防止 iOS 在 APP 切换界面能看到敏感信息)</p></li>
<li><p>密码键盘,自行实现无序的密码键盘(恶意软件有可能会通过监控屏幕点击,监控系统键盘)</p></li>
<li><p>密码输入需要 * 遮挡、后台一些重要数据脱敏后返回前台</p></li>
<li><p>禁止在前台(Web 和 APP)和后台 server 日志和配置文件中,明文记录用户名,密码或者密钥,也不打印和保存客户敏感信息,防止信息的泄露。</p></li>
<li><p>SDK 里面的密码等敏感信息用完即销毁(APP 不缓存密码)</p></li>
<li><p>敏感数据要做好加密存储,例如对 Credential 数据:加密保存,秘钥如何存(KeyCenter 保存)</p></li>
<li><p>数据出生产控制,比如使用 Citrix</p></li>
<li><p>能查看所有用户信息的管理台,做好相应的鉴权</p></li>
</ul>
</div>
<div class="section" id="">
<span id="id5"></span><h2>4.应用安全:<a class="headerlink" href="#" title="永久链接至标题">¶</a></h2>
<ul class="simple">
<li><p>登录态和其它业务独立,避免登录泄漏影响到其它业务</p></li>
<li><p>敏感接口调用,建议接入 2FA 双因子验证或者 MFA,比如必须输入图形验证码,手机验证码,人脸识别等</p></li>
<li><p>密码恢复,需要 2FA 或者 MFA</p></li>
<li><p>互联网 APP 类、Web 类业务系统发布前应进行代码扫描和接口安全扫描及安全渗透性测试,相应测试结果及整改情况应提交系统上线检视会进行评估。 对外的接口需要做渗透测试。
例如常见的厂家:<a class="reference external" href="http://www.nsfocus.com.cn/">绿盟</a>;<a class="reference external" href="https://www.vulbox.com/">漏洞盒子</a>。
常见漏洞见:<a class="reference external" href="https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project">OWASP_Top_Ten_Project</a> 或者 <a class="reference external" href="http://www.owasp.org.cn/owasp-project/2017-owasp-top-10">2017-owasp-top-10</a></p></li>
<li><p>SDK 被嵌入执行的父应用判断,避免恶意应用嵌入</p></li>
<li><p>SDK 升级能力,保存在 APP 里面的证书需要定时更新</p></li>
<li><p>Android 接入腾讯乐固加固和腾讯金刚扫描(发现四大组件权限设置问题,如调用方权限;防止仿编译等。)
参考:<a class="reference external" href="http://wiki.open.qq.com/wiki/%E5%BA%94%E7%94%A8%E5%8A%A0%E5%9B%BA">腾讯乐固</a></p></li>
<li><p>Android 监测到 root 设备提示用户不安全问用户是否继续执行</p></li>
<li><p>Android APP 防止二次打包(对比签名)</p></li>
<li><p>iOS 反调试代码,监测是否越狱</p></li>
</ul>
</div>
<div class="section" id="">
<span id="id6"></span><h2>5.其它<a class="headerlink" href="#" title="永久链接至标题">¶</a></h2>
<ul class="simple">
<li><p>安全编码规范:OWASP 安全编码规范:</p></li>
</ul>
<p><a class="reference external" href="https://www.owasp.org/index.php/File:OWASP_SCP_Quick_Reference_Guide_v2.pdf">(English Version) OWASP_SCP_Quick_Reference_Guide</a></p>
<p><a class="reference external" href="https://www.owasp.org/index.php/File:OWASP_SCP_Quick_Reference_Guide_(Chinese).pdf">(中文) OWASP_SCP_Quick_Reference_Guide</a></p>
</div>
</div>
</div>
</div>
<footer>
<hr/>
<div role="contentinfo">
<p>
© Copyright (2018) WeBank Co., Ltd.
</p>
</div>
Built with <a href="http://sphinx-doc.org/">Sphinx</a> using a <a href="https://github.com/rtfd/sphinx_rtd_theme">theme</a> provided by <a href="https://readthedocs.org">Read the Docs</a>.
</footer>
</div>
</div>
</section>
</div>
<script type="text/javascript" id="documentation_options" data-url_root="../" src="../_static/documentation_options.js"></script>
<script src="../_static/jquery.js"></script>
<script src="../_static/underscore.js"></script>
<script src="../_static/doctools.js"></script>
<script src="../_static/language_data.js"></script>
<script src="../_static/translations.js"></script>
<script type="text/javascript" src="../_static/js/theme.js"></script>
<script type="text/javascript">
jQuery(function () {
SphinxRtdTheme.Navigation.enable(true);
});
</script>
</body>
</html>