Lập trình An toàn

Thực hiện mã hóa để truyền các thông tin nhạy cảm

Xác định các mã hóa ký tự cho tất cả các kết nối

Lọc các thông số chứa thông tin nhạy cảm từ đề xuất của HTTP khi kết nối đến các trang bên ngoài

Không cần thiết sử dụng các kết nối TLS cho tất cả các nội dung yêu cầu xác thực truy cập và tất cả các thông tin nhạy cảm khác

Chỉ sử dụng giá trị xác thực đầu vào, đảm bảo các ký tự meta nhập vào không thực hiện được lệnh chạy trên DB

Thực hiện đóng các kết nối càng sớm càng tốt khi thực hiện xong yêu cầu

Tắt tất cả các hàm CSDL không cần thiết

Vô hiệu hóa bất kỳ tài khoản mặc định nào không bắt buộc hỗ trợ các yêu cầu công Việc

Lỗi unrate limit

Lỗi về upload file

Lỗi không mask thông tin số thẻ trả ra

Lỗi Broken
Access
Control

Up/copy dữ liệu khách hàng lên trang public để check định dạng jsson

Điều chỉnh proxy để truy cập các trang web bị cấm: youtube, gmail,...

Thực hiện lock máy tính khi ra khỏi chỗ ngồi

Chia sẻ mật khẩu với các đồng nghiệp

Tắt máy tính khi ra về

Truy vấn SQL phải dùng PrepareStatement, tất cả tham số phải được add bằng hàm (setParam..), không được xử dụng cách cộng xâu trong truy vấn

Truy vấn SQL tất cả tham số phải được add bằng hàm (setParam), không được xử dụng cách cộng xâu trong truy vấn

Encode dưới dạng HTML các ký tự đặc biệt do client gửi đến

Kiểm soát phía server tên file, đường dẫn file được gửi lên từ client.

-        Mã hóa các dự liệu nhạy cảm trong cơ sở dữ liệu.

-        Các hàm mã hóa 1 chiều phải có thêm salt. Chú ý: salt phải đảm bảo tính ngẫu nhiên

-        Sử dụng chung thông báo lỗi cho cả 2 trường hợp nhập sai tên đăng nhập và mật khẩu trên trang đăng nhập vào hệ thống.

-   Chống việc đăng nhập với một session ID có sẵn:

-   Giới hạn phạm vi ứng dụng của session ID.

Yêu cầu tất cả các ngoại lệ đều phải được xử lý, và được lưu vào trong hệ thống log để được xử lý sau này.

Hạn chế hiện thị chi tiết miêu tả lỗi ra phía người dùng cuối chỉ nên thông báo lỗi đơn giản nhất có thể.

Yêu cầu tất cả các ngoại lệ đều phải được xử lý và được lưu vào hệ thống log để được xử lý sau này. Luôn hiển thị tất cả các miêu tả lỗi ra phía người dùng cuối

Yêu cầu tất cả các ngoại lệ đều phải được xử lý.

Hạn chế hiển thị chi tiết lỗi

Lập trình viên khi xây dựng, phát triển ứng dụng cần lắm rõ luồng nghiệp vụ, logic của ứng dụng, trao đổi với BA để lên các case cần phòng tránh

Lập trình viên khi xây dựng, phát triển ứng dụng cần lắm rõ logic của ứng dụng, nghiệp vụ của chức năng đang xây dựng

Lập trình viên khi xây dựng, phát triển ứng dụng cần lắm rõ luồng nghiệp vụ, logic của ứng dụng, xử lý các case mà kẻ tấn công có thể lợi dụng thực hiện viết chương trình tự động để thực hiện.

Lập trình viên cùng BA thực hiện lên phương án các case exception có thể bị hacker tấn công