上線前該做的資安檢查清單
系統上線前的一次安全體檢,能省下事後補救的高昂代價。本文整理常見且高風險的檢查項目。
- 資安
- 弱點檢測
- 上線準備
資安問題在上線前修補的成本,遠低於事故發生後的補救與商譽損失。以下是系統上線前值得逐項確認的高風險項目,可作為內部自查的起點。
認證與授權
- 是否有未受保護的管理介面或 API 端點
- 權限檢查是否在伺服器端執行,而非僅靠前端隱藏
- 密碼儲存是否使用適當的雜湊,是否限制登入嘗試
輸入處理與注入
- 資料庫查詢是否一律使用參數化,避免 SQL 注入
- 使用者輸入在輸出時是否正確編碼,避免 XSS
- 檔案上傳是否驗證型別與大小,並隔離儲存
傳輸與設定
- 全站是否強制 HTTPS 並設定 HSTS
- 安全標頭(CSP、X-Frame-Options、Referrer-Policy)是否配置
- 錯誤訊息是否避免洩漏堆疊或內部路徑
自查之外
自查能攔下多數常見疏漏,但無法取代由第三方視角進行的完整檢測。若系統涉及敏感資料或有稽核需求,建議在上線前安排一次正式的弱點檢測——並記得,任何檢測都必須在系統所有權人的書面授權下進行。