在团队合作中,我们以多种方式保护您的信息:

编码指南和检查

  • 我们执行强有力的编码准则。
  • 所有Ajax响应操作页面都不会被直接调用。
  • 不能直接链接所包含的文件。
  • 查询参数检查在任何地方都被用于类型检查和防止SQL注入攻击。
  • URL和表单参数检查在任何地方都被用于对用户请求进行类型检查,防止和防止攻击。
  • 所有来自用户的内容都用XSS过滤器进行转义,以防止跨站点脚本攻击。
  • 集成的权限系统防止对对象的未授权访问。

用户访问

  • 所有失败和成功的登录都会被记录下来
  • 不正确的登录尝试超过用户定义的阈值锁定帐户一段时间
  • 修改用户密码会自动注销当前用户登录的所有其他会话
  • 密码从不通过电子邮件发送
  • 根据价格计划,可以通过GSuite进行SSO和联邦登录

数据库

  • 数据库关闭了字符转义。
  • 密码使用Bcrypt以散列格式存储——即使访问数据库,也无法确定密码。
  • 禁止多行SQL语句执行,防止SQL注入攻击。

服务器设置

  • 错误报告将自动通过电子邮件发送给开发人员——这也显示了任何黑客企图。
  • 所有在线登录都使用高安全性SSL,并且是使用自定义域的任何帐户的选项
  • 策略包括日常修改服务器访问密码。
  • 所有操作系统和中间件安全更新应用和例行检查。
  • 禁用所有不必要的服务。
  • 使用高强度密码、2FA和IP限制。
  • 只对注册的IP地址有效。
  • 执行web文件夹上禁用的权限,以防止上传的文件被执行。
  • 在传输到Amazon S3之前,暂挂存储在非web可访问位置的文件。

举办

  • 服务器在高度安全的地方。
  • 只有少数人可以使用服务器。
  • 防火墙阻止来自未授权位置的访问(除了端口80基本HTTP,端口443用于SSL和端口8840用于Websocket实现)。

测试和意识

  • 我们监控一般互联网安全威胁,并确保所有更新和热修复程序及时应用。
  • 我们有许多脚本和工具(如SQLPowerinjector)来测试我们的接口。
  • QA团队使用API回归测试。