過去筆者編寫的《研發安全規範説明書》，需要的同仁請在評論留下郵箱，目錄如下

研發安全規範目錄

目錄 4

1 目的... 7

2 系統範圍... 7

3 需求階段... 8

3.1 安全需求... 8

3.2 數據權限設計... 8

通過組織機構樹實現... 9

通過組織機構圖來詳細闡述某個賬號的數據權限... 11

通過數據共享配置實現... 12

3.3 數據脱敏... 13

3.3.1 自定義日誌脱敏組件... 14

3.3.2 數據分類分級説明和範例... 18

4 概要設計過程... 20

4.1 概要設計關注點... 20

4.2 安全設計... 21

4.2.1 安全架構和設計原則... 21

4.2.2 安全設計八+N原則... 21

4.2.3 安全威脅分類STRIDEP. 23

4.2.4 威脅分析知識庫... 24

4.2.5 認證與授權... 24

4.2.6 權限設計... 24

4.2.7 數據加密... 24

4.2.8 XSS字符過濾... 29

4.2.9 前端部署安全... 30

4.2.10 脱敏數據... 30

4.2.11 內容安全... 31

4.3 行為驗證碼集成... 31

4.4 統一認證... 32

4.5 權限控制... 32

用户機構權限控制... 32

OAuth2. 33

Shiro認證... 35

4.6 漏洞原理... 36

4.6.1 水平越權... 37

4.6.2 垂直越權... 37

4.6.3 漏洞舉例... 37

5 安全設計規範... 40

5.1 安全規約... 40

5.2 跨站腳本攻擊（XSS）... 42

5.2.1 XSS簡介... 42

5.2.2 XSS的類型... 42

5.3 跨站請求偽造(CSRF) 42

5.3.1 CSRF簡介... 42

5.3.2 CSRF的特性... 43

5.4 SQL注入... 43

5.4.1 SQL注入簡介... 43

5.5 平台開發安全規範... 44

5.5.1 輸入檢查... 44

5.5.2 SQL語句... 45

5.6 報錯信息... 46

5.7 統一資源定位(URL)內容... 46

5.8 接口安全設計規範... 46

5.8.1 API最佳實踐... 47

5.8.2 防火牆... 48

5.8.3 驗證碼... 49

5.8.4 鑑權... 50

5.8.5 IP白名單... 51

5.8.6 數據加密... 52

5.8.7 限流... 53

5.8.8 監控... 55

5.8.9 網關... 56

5.8.10 API安全Checklist 56

5.9 單個接口針對ip限流... 60

5.10 敏感數據加密與脱敏... 60

5.11 冪等性... 60

5.12 Redis安全基線... 60

5.12.1 開啓redis密碼認證,並設置高複雜度密碼... 61

5.12.2 修改默認6379端口... 61

5.12.3 限制redis 配置文件訪問權限... 61

5.12.4 禁用或者重命名危險命令... 62

5.12.5 禁止監聽在公網... 62

5.12.6 禁止使用root用户啓動... 62

5.12.7 打開保護模式... 63

5.12.8 redis-server監聽配置... 63

5.13 前端工程部署安全... 63

5.14 Docker安全規範... 64

5.14.1 docker安全基線... 64

5.14.2 檢測表... 85

5.15 Mysql安全加固... 88

5.16 Linux等保2.0三級版鏡像概述... 91

6 研發過程... 94

6.1 應用系統安全基線... 94

6.1.1 密碼複雜度判斷... 95

6.2 數據庫安全基線... 95

6.3 代碼提交安全掃描CI 96

6.4 組件安全掃描CI 96

6.4.1 Dependency Check. 96

6.4.2 Jenkins-plugins-DependencyCheck更新數據文件... 96

6.5 安全編碼與實踐... 97

6.5.1 參數簽名... 98

6.5.2 數據庫連接字符串加密... 101

6.5.3 基於jasypt的Springboot配置文件加密... 102

6.5.4 過濾非法字符Java Encoder 106

6.5.5 Https數字證書... 107

6.5.6 Fastjson. 111

6.5.7 Log4j 111

6.5.8 Shiro. 112

6.5.9 跨站腳本編制... 112

6.5.10 API成批分配... 112

6.5.11 基於Refer驗證實現 防止跨站 偽造請求 方案... 113

6.5.12 前端防止XSS DOM攻擊安全漏洞... 114

6.5.13 服務端XSS Filter 114

6.5.14 OWASP Cheat sheet 118

6.6 上線前安全掃描... 118

HLC AppScan. 118

Fority. 118

7 運維部署階段... 119

7.1 概要... 119

7.2 應用安全部署... 123

7.2.1 應用系統安全要求... 123

7.2.2 安全部署... 124

7.2.3 環境變量替換配置的明文密碼... 124

7.2.4 安全鏡像部署... 126

7.3 數據庫安全部署... 126

7.3.1 系統數據庫安全要求... 126

7.3.2 MySQL數據庫... 127

7.4 運維管理要求... 132

7.4.1 數據庫運維管理工具要求：... 132

7.4.2 運維人員要求：... 132

7.5 中間件安全部署... 133

7.5.1 Docker安全基線... 133

7.5.2 Minio. 151

7.5.3 Nacos 152

7.6 數據庫安全運維工具... 154

7.7 日常運維安全... 154

7.8 操作系統... 154

7.8.1 設置新管理賬户... 154

7.8.2 限制root賬户... 156

7.8.3 登錄策略設置... 157

7.8.4 密碼複雜度策略設置... 159

8 安全漏洞修復... 160

8.1 中間件... 160

8.2 Web安全漏洞... 160

任意命令執行漏洞... 161

任意文件上傳漏洞... 161

任意文件寫入漏洞... 176

任意文件包含漏洞... 176

任意文件刪除漏洞... 176

任意文件匿名訪問漏洞... 176

Java反序列化漏洞... 176

SQL注入漏洞... 176

XSS漏洞... 177

XXE漏洞... 181

SSRF漏洞... 181

CSRF漏洞... 183

8.3 API成批分配漏洞... 185

國家信息安全等級保護制度第三級評測... 186

安全管理機構具體測評... 190

OWASP安全標準... 195

弱口令... 195

文檔部分截圖

與

今天先到這兒，希望對AI 雲原生，技術領導力， 企業管理，系統架構設計與評估，團隊管理, 項目管理, 產品管理，信息安全，團隊建設 有參考作用 , 您可能感興趣的文章:
構建創業公司突擊小團隊
國際化環境下系統架構演化
微服務架構設計
視頻直播平台的系統架構演化
微服務與Docker介紹
Docker與CI持續集成/CD
互聯網電商購物車架構演變案例
互聯網業務場景下消息隊列架構
互聯網高效研發團隊管理演進之一
消息系統架構設計演進
互聯網電商搜索架構演化之一
企業信息化與軟件工程的迷思
企業項目化管理介紹
軟件項目成功之要素
人際溝通風格介紹一
精益IT組織與分享式領導
學習型組織與企業
企業創新文化與等級觀念
組織目標與個人目標
初創公司人才招聘與管理
人才公司環境與企業文化
企業文化、團隊文化與知識共享
高效能的團隊建設
項目管理溝通計劃
構建高效的研發與自動化運維
某大型電商雲平台實踐
互聯網數據庫架構設計思路
IT基礎架構規劃方案一(網絡系統規劃)
餐飲行業解決方案之客户分析流程
餐飲行業解決方案之採購戰略制定與實施流程
餐飲行業解決方案之業務設計流程
供應鏈需求調研CheckList
企業應用之性能實時度量系統演變

如有想了解更多軟件設計與架構, 系統IT,企業信息化, 團隊管理 資訊，請關注我的微信訂閲號：

作者：Petter Liu
出處：http://www.cnblogs.com/wintersun/
本文版權歸作者和博客園共有，歡迎轉載，但未經作者同意必須保留此段聲明，且在文章頁面明顯位置給出原文連接，否則保留追究法律責任的權利。 該文章也同時發佈在我的獨立博客中-Petter Liu Blog。