zhangjian85

金融业建议参考监管部门的相关指引去做，也有个四部委的APP个人隐私保护的规定；也可以做一个相关的咨询。

安全测试标准可以参考：OWASP测试指南GB/T20984-2007信息安全技术 信息安全风险评估规范 GB/T18336-2001 信息技术-安全技术-信息技术安全性评估准则

1，首先及时更新这个库2，对上传图片进行二次渲染3，把进行二次渲染的服务器，和其他服务器隔离开

5%左右吧

OWASP的ESAPI，shiro 供参考

上传文件不被篡改？防止上传webshell?

不懂你的问题，能否再解释下？谢谢

使用预处理执行SQL语句，对所有传入SQL语句中的变量，做绑定。这样，用户拼接进来的变量，无论内容是什么，都会被当做替代符号“?”所替代的值，数据库也不会把恶意用户拼接进来的数据，当做部分SQL语句去解析。...

以下几点供参考：1， 在HTML/XML中显示“用户可控数据”前，应该进行html escape转义。2，在javascript内容中输出的“用户可控数据”，需要做javascript escape转义。 3，对输出到富文本中的“用户可控数据”，做富文本安全过滤（允...

1，制定开发安全编码规范（针对自己开发和外包）2，安全开发培训3，引入开发安全框架