LDT SYSTEM

上線前該做的資安檢查清單

系統上線前的一次安全體檢,能省下事後補救的高昂代價。本文整理常見且高風險的檢查項目。

  • 資安
  • 弱點檢測
  • 上線準備

資安問題在上線前修補的成本,遠低於事故發生後的補救與商譽損失。以下是系統上線前值得逐項確認的高風險項目,可作為內部自查的起點。

認證與授權

  • 是否有未受保護的管理介面或 API 端點
  • 權限檢查是否在伺服器端執行,而非僅靠前端隱藏
  • 密碼儲存是否使用適當的雜湊,是否限制登入嘗試

輸入處理與注入

  • 資料庫查詢是否一律使用參數化,避免 SQL 注入
  • 使用者輸入在輸出時是否正確編碼,避免 XSS
  • 檔案上傳是否驗證型別與大小,並隔離儲存

傳輸與設定

  • 全站是否強制 HTTPS 並設定 HSTS
  • 安全標頭(CSP、X-Frame-Options、Referrer-Policy)是否配置
  • 錯誤訊息是否避免洩漏堆疊或內部路徑

自查之外

自查能攔下多數常見疏漏,但無法取代由第三方視角進行的完整檢測。若系統涉及敏感資料或有稽核需求,建議在上線前安排一次正式的弱點檢測——並記得,任何檢測都必須在系統所有權人的書面授權下進行。