1.所有字段的输入必须在服务端检验
2.字段联动必须在服务端检验(如:一个页面的前一个字段取值为1,后一个字段只能取值234,这时候需要测试后一个字段非234如5,检查服务端是否能够检验出错误)
3.页面联动必须在服务端检验(如:后一个页面是以前一个页面的处理结果为条件的,这时需要修改前一个测试界面的返回结果,检验服务端能否检验出错误)
4.增删改对个人数据的查询,导入,上传,导出,下载等操作有日志记录
5.用作查询条件的字段有防sql注入的机制(参数的值如果为数字则使用value or 1=1参数的值如果为字符型,则使用value
' or ‘1’ = ‘1’)
6.涉及口令,密钥,银行卡,信用卡失效日期,原始通信内容的页面采用https➕post方式传输
7.禁止在cookie中以明文形式存口令,密钥,银行卡,信用卡,信用卡失效期,原始通信内容
8.敏感数据包括会话标识符等,表单数据使用http➕post方式提交
9.在web系统中,如果提交的数据包含高影响个人数据,则禁止使用get方法提交
10.会话ID安全
网友评论