网络安全开发培训教程_图文.pptVIP

大多数企业内部都是逆向的过程，绿盟也是如此，企业是否实施SDL，开发团队的安全能力非常重要，这是一个团队打造的过程 逆向是成本最低的过程，避免了直接上代码审计，由于海量需要人工定性的安全问题而加大成本 * 用户身份认证的强度设计可以采用以下几种方式，应根据应用的重要程度合理使用认证方式。 用户名、口令认证； 一次性口令、动态口令认证； 证书认证； 对高价值交易和进入保护区域的用户需要进行重新认证(比如修改个人口令等操作)。 认证失败后的处理方式设计 连续失败登录后锁定账号。账号锁定后可以由系统管理员解锁，也可以在一段时间后自动解锁。 通知用户认证失败，但不应区分是账号错误还是口令错误，否则可能被利用于猜测系统账号。 使用强口令策略 应用软件需要检查用户设定的口令是否符合口令管理规则，要求输入至少8位字符，其中要包含大写字母、小写字母、数字和特殊字符四种中的三种。 在使用短信口令的程序中，需设定短信有效时间应不超过15分钟，请求间隔不少于60秒。 对于高权限用户（比如管理员账号），应该设定口令定期修改的周期，根据实际应用的情况，可选择三个月强制修改口令。 使用图片验证码 图片验证码应当能抵抗自动识别，但不影响普通用户的正常识别，应实现为长度至少4位的随机串，且使用扭曲、噪点干扰、字体变换、大小变换、位置变换等防自动识别的一种或者多种方法。 敏感信息加密处理 涉及到用户名、口令、数据