我在互联网上搜寻了很久,试图找到一个关于像在线银行这样的非常安全的网站的安全实践指南,但没有找到。
我的兴趣是了解您在以下领域使用的实践:
- 通信:肯定会使用SSL……有什么额外的提示来防止“中间人”攻击。
- 身份验证:用户名+密码+验证码+时间限制+强制定期更改。
- 页面之间的导航:有这样的东西吗?
- 防止XSS和XSRF:已经在平台中。
- 加密客户端和服务器上的敏感数据:具体是什么?客户端是否应该有敏感数据?
- 精细调整的授权:显示/隐藏+执行命令+权限。
- 审计?什么?以及这与日志记录有何不同。
- 页面级安全性:防止页面内容被篡改(我们真的需要这个吗?)
如何检测渗透尝试?监视IP、锁定某些帐户……?是否有一种测试或模拟威胁的方法?