?軟件開發(fā)我們其實(shí)并不陌生，軟件開發(fā)安全問題也成為了重中之重。那么從軟件開發(fā)初期我們就要想好安全問題如何處理。那么今天小編就跟大家探討一下軟件開發(fā)都有哪些安全問題，又是如何處理的。

數(shù)據(jù)安全

這里我們就必須要提到數(shù)據(jù)庫。我們需要檢查軟件，所在目錄的文件權(quán)限、數(shù)據(jù)庫文件的安全性、日志、敏感文件數(shù)據(jù)的儲(chǔ)存等等。這時(shí)我們需要將權(quán)限必須為不允許其他的人讀寫,那么重要的信息，要進(jìn)行加密儲(chǔ)存。特別敏感的信息，調(diào)試信息必須要關(guān)閉。再將文件保存到外部?jī)?chǔ)存之前。需要在內(nèi)容進(jìn)行加密。

debug調(diào)試

軟件在準(zhǔn)備上線之前必須要確保關(guān)閉了調(diào)試屬性。調(diào)試屬性開啟后會(huì)存在。特別高的風(fēng)險(xiǎn)。

認(rèn)證失敗需鎖定

測(cè)試軟件用戶端，是否限制多次嘗試登錄請(qǐng)求。防止多次使用窮舉辦法，破解用戶密碼。這里我們需要在服務(wù)器編寫賬號(hào)鎖定的策略邏輯，當(dāng)一定時(shí)間內(nèi)多次輸入密碼錯(cuò)誤時(shí)，對(duì)該賬號(hào)進(jìn)行鎖定以防止通過暴力猜解密碼。

單點(diǎn)登錄限制

測(cè)試是否一個(gè)賬號(hào)同時(shí)登錄多個(gè)設(shè)備。這就需要在服務(wù)器進(jìn)行賬號(hào)登錄驗(yàn)證時(shí)有限制對(duì)應(yīng)的邏輯代碼。通過session或標(biāo)志位的方式。限制同一時(shí)間只有一賬號(hào)能夠登錄。

會(huì)話超時(shí)

測(cè)試用戶在一段時(shí)間內(nèi)沒有任何操作的情況下。是否使用重新登錄？超時(shí)是否合理？在邏輯階段編寫時(shí)，我們需要設(shè)定時(shí)間，無操作時(shí)自動(dòng)退出賬號(hào)或者是關(guān)閉服務(wù)器通信。

安全退出

測(cè)試在客戶端退出時(shí)是否會(huì)和服務(wù)器進(jìn)行通信以及保持退出及時(shí)性。保證客戶端和服務(wù)器同時(shí)退出，軟件退出時(shí)服務(wù)器端關(guān)閉通信。

密碼修改校驗(yàn)

檢查客戶端用戶進(jìn)行密碼修改時(shí)的安全性。這里需要用戶在修改密碼時(shí)，需要提供原密碼輸入驗(yàn)證身份的邏輯。以防cookie登錄修改密碼。

任意注冊(cè)

什么賬號(hào)都可以注冊(cè)是最有風(fēng)險(xiǎn)的。賬號(hào)必須實(shí)名制注冊(cè)。這樣就可以防止大量的惡意注冊(cè)賬號(hào)。大量的注冊(cè)賬號(hào)時(shí)可能造成惡意操作等問題。

短信驗(yàn)證

短信驗(yàn)證對(duì)于暴力破解是一種很好的防御手段。但是如果驗(yàn)證碼沒有使用的期限。那么就無法發(fā)揮防止暴力破解的效果。在邏輯中，我們要設(shè)立驗(yàn)證碼只能使用一次。并且短信驗(yàn)證在五分鐘之內(nèi)有效。?