checklists

# 安全检查清单 > 用于安全审计的快速参考清单。请与漏洞扫描器原则配合使用。 --- ## OWASP Top 10 审计清单 ### A01: 失效的访问控制 - [ ] 所有受保护路由的授权检查 - [ ] 默认拒绝策略 - [ ] 已实现速率限制 - [ ] CORS 配置正确 ### A02: 加密失败 - [ ] 密码已哈希处理 (bcrypt/argon2, cost 12+) - [ ] 静态敏感数据已加密 - [ ] 所有连接使用 TLS 1.2+ - [ ] 代码/日志中无密钥信息 ### A03: 注入 - [ ] 参数化查询 - [ ] 所有用户数据的输入验证 - [ ] 针对 XSS 的输出编码 - [ ] 无 eval() 或动态代码执行 ### A04: 不安全的设计 - [ ] 已完成威胁建模 - [ ] 已定义安全需求 - [ ] 业务逻辑已验证 ### A05: 安全配置错误 - [ ] 已禁用不必要的功能 - [ ] 错误消息已脱敏 - [ ] 已配置安全响应头 - [ ] 已更改默认凭据 ### A06: 易受攻击的组件 - [ ] 依赖项已更新 - [ ] 无已知漏洞 - [ ] 已移除未使用的依赖项 ### A07: 身份验证失败 - [ ] 提供 MFA (多因素认证) - [ ] 注销时使会话失效 - [ ] 已实现会话超时 - [ ] 防暴力破解保护 ### A08: 完整性失败 - [ ] 依赖项完整性已验证 - [ ] CI/CD 流水线已加固 - [ ] 更新机制已加固 ### A09: 日志记录失败 - [ ] 安全事件已记录 - [ ] 日志受保护 - [ ] 日志中无敏感数据 - [ ] 已配置告警 ### A10: SSRF - [ ] 已实现 URL 验证 - [ ] 外部调用的允许列表 - [ ] 网络分段 --- ## 身份验证检查清单 - [ ] 强密码策略 - [ ] 账户锁定 - [ ] 安全的密码重置 - [ ] 会话管理 - [ ] 令牌过期 - [ ] 注销失效 --- ## API 安全检查清单 - [ ] 要求身份验证 - [ ] 每个端点的授权检查 - [ ] 输入验证 - [ ] 速率限制 - [ ] 输出脱敏 - [ ] 错误处理 --- ## 数据保护检查清单 - [ ] 静态加密 - [ ] 传输中加密 - [ ] 密钥管理 - [ ] 数据最小化 - [ ] 安全删除 --- ## 安全响应头 | 响应头 | 用途 | |--------|---------| | **Content-Security-Policy** | 防止 XSS | | **X-Content-Type-Options** | 防止 MIME 嗅探 | | **X-Frame-Options** | 防止点击劫持 | | **Strict-Transport-Security** | 强制 HTTPS | | **Referrer-Policy** | 来源控制 | --- ## 快速审计命令 | 检查项 | 关注点 | |-----