由於最近公司談了一個小的項目。對於安全方面比較嚴。所以就想了想安全方面的東西。歡迎大家指正。這是一個船票的訂單系統。對方是國企。此系統不直接面對終極客戶,而已用於管理下面代理商的一個船票售票系統。
一:是數據存儲和數據傳輸方面的安全:
(1) 所有數據全部加密存儲,即是拿到數據庫沒有解密算法,沒有密鑰。也無法看出任何內容;
密碼等機密數據使用MD5散列存儲(目前淘寶網支付寶等主流網站和系統的加密方式):重要數據如公司地址,船票號,船票座位信息等使用加密算法加密后處理
base64 算法
加密后形式s:
6Ii556WoIOW6p+S9jSAxIOiIueelqOWPtyA1ICDmiZPljbDml7bpl7QgMjAwNQ==
DES加密算法
明文:使用C#編寫DES加密程序的framework
加密后:3D 22 64 C6 57 D1 C4 C3 CF 77 CE 2F D0 E1 78 2A 4D ED 7A A8
83 F9 0E 14 E1 BA 38 7B 06 41 8D B5 E9 3F 00 0D C3 28 D1 F9 6D 17 4B 6E A7 41 68 40
(2)傳輸參數使用bsse64加密后在傳輸。即使盜取了數據,包也無法破解傳輸的內容。后台程序接收后在綜合密鑰還原出來。
二:程序漏洞,sql注入漏洞,跨站腳本等方面的安全了:
估計會建立常用ip機制。代理商ip機制。對分常用的ip在服務器方面就拒絕訪問。
大量使用存儲過程,對用戶輸入進行檢查,檢測。前台上傳做嚴格限定等常用的手段了。這塊我只能想出常見手段了。