軟件開發安全

常用安全注意點及解決方案

1、 繞過前端或安全驗證直接調用服務端業務接口：（一般解決方法：服務端不要把安全校驗的代碼和具體業務代碼分開為2個接口，如提現密碼的校驗與提現業務不要分2個接口）

2、 CSRF攻擊：利用（而非獲取）安全值如登錄態（如cookie中的登錄token）攻擊接口（一般解決方法：前端、服務端配合，用隨機數或目前比較常用的手機驗證碼或第三方極驗）

3、 暴力破解（一般解決方法：前端、服務端、產品設計配合做接口調用頻次限制）

4、 業務漏洞（一般解決方法：熟悉業務）

5、 并發：提起并發，大家可能更多的是并發性能瓶頸優化，如分表分庫，數據庫優化，緩存，消息隊列等等，這里不是講這方面，而是在并發情況資源競爭或臟讀數據，最終會導致我們的數據可能是錯誤的，解決方法如對象鎖、事務、數據庫鎖、樂觀鎖等

6、 XSS攻擊（一般解決方法：前端編碼或參數限制、服務端編碼）

7、 SQL注入（一般解決方法：服務端sql參數化）