网站开发支付功能,net网站开发JD,提供户型图免费设计,网页程序开发工具一、是否有密码复杂度策略、是否有密码有效期
1#xff09;密码长度至少8位#xff1b;
2#xff09;要求用户密码必须包含大小写字母、数字、特殊字符
3#xff09;避免常见密码 123456#xff0c;qwerty, password;
4) 强制用户定期修改密码#xff1b;
5#x…一、是否有密码复杂度策略、是否有密码有效期
1密码长度至少8位
2要求用户密码必须包含大小写字母、数字、特殊字符
3避免常见密码 123456qwerty, password;
4) 强制用户定期修改密码
5限制尝试登录次数
6双因素身份证验证要求用户使用两个或两个以上身份因素验证如密码、手机验证码或指纹、邮件验证码、人脸识别二、是否有登录失败处理功能是否有登录连接超时自动退出功能
1 控制尝试登录次数3次超过3次锁定帐户30~60分钟
2基于 Token 的身份验证机制后端在用户登录成功后生成一个 Token并返回给前端。前端将 Token 存储在本地通常使用 LocalStorage 或者 Cookie。前端可以在每个请求的请求头中携带 Token后端根据 Token 验证用户身份和刷新会话时间。如果用户在一定时间内没有发送请求后端会话自动失效用户需要重新登录。注这种方式要求帐户登录是独占的另外一台电脑用同一个帐户登录时前面登录的用户token将会失效三、应用系统日志备份策略是什么如 怎么进行备份的备份到哪里备份周期
3.1 Fluentd Fluentd不生产日志Fluentd只是日志的搬运工。 后端系统包括告警系统Nagios、分析系统MongoDB、MySQL、Hadoop、ElasticSearch、存储系统Amazon S3) https://github.com/fluent/fluentd
3.2 ELK 日志框架 四、应用系统是否定期漏扫如有请提供漏扫报告并说明漏扫周期 几款开源免费的web漏洞扫描工具
4.1 OWASP ZAP
OWASP ZAP 是一款功能强大的 Web 漏洞扫描工具可以帮助用户发现和修复 Web 应用程序中的漏洞。它支持多种平台包括 Windows。ZAP 提供了易于使用的界面并支持自定义脚本和插件以扩展其功能。
下载地址 https://www.zaproxy.org/download/
4.2 Arachni
Arachni 是一款全面的 Web 应用程序安全测试框架具有自动化测试的能力。它提供了易于使用的 Web 界面并支持自定义脚本和插件。Arachni 可以运行在 Windows 系统上以及其他多种平台上。
下载地址https://github.com/Arachni/arachni/releases/tag/v1.6.1.3
五、重要数据备份策略是什么如 怎么进行备份的备份到哪里备份周期 是否进行异地备份如 怎么进行备份的备份到哪里备份周期 数据库是否有定期进行漏洞扫描OpenVAS 定期备份多样性备份云存储备份、本地备份
5.1 使用Navicat实现MySQL自动定时备份
修改备份位置右键编辑连接打开连接属性修改设置位置 当你在 Navicat 中设置了一个计划任务例如定时备份数据库Navicat 会帮助你生成相应的 SQL 脚本并将其保存在Windows操作系统的计划任务中。计划任务的执行与 Navicat 是否打开或关闭无关它完全依赖于操作系统的计划任务服务。 5.2 要求备份到异地区域的机房或者手动备份至线下。
六、应用系统是否收集基础个人信息和个人敏感信息如姓名、身份证、手机号等 七、服务器 1、服务器日志是否有发送至日志审计 2、服务器是否有安装防护软件 3、服务器是否有定期进行漏洞扫描 4、服务器是否有进行备份提供具体备份策略 5、服务器是否有进行异地备份
