软件开发安全

常用安全注意点及解决方案

1、 绕过前端或安全验证直接调用服务端业务接口：（一般解决方法：服务端不要把安全校验的代码和具体业务代码分开为2个接口，如提现密码的校验与提现业务不要分2个接口）

2、 CSRF攻击：利用（而非获取）安全值如登录态（如cookie中的登录token）攻击接口（一般解决方法：前端、服务端配合，用随机数或目前比较常用的手机验证码或第三方极验）

3、 暴力破解（一般解决方法：前端、服务端、产品设计配合做接口调用频次限制）

4、 业务漏洞（一般解决方法：熟悉业务）

5、 并发：提起并发，大家可能更多的是并发性能瓶颈优化，如分表分库，数据库优化，缓存，消息队列等等，这里不是讲这方面，而是在并发情况资源竞争或脏读数据，最终会导致我们的数据可能是错误的，解决方法如对象锁、事务、数据库锁、乐观锁等

6、 XSS攻击（一般解决方法：前端编码或参数限制、服务端编码）

7、 SQL注入（一般解决方法：服务端sql参数化）