人脸识别技术应用算比较多的了,支付宝,门禁等很多地方都在用,但网上扫了一下,关于安全测试相关的内容却很少。这里我把最近这块安全的测试点做了一个清单如下:
1. 存储需求
人脸识别,大家普遍会想到的个人人脸数据这个算是隐私数据的存储。原则上涉及到隐私的,如果我们业务功能没有必要做处理的,可以直接放到大厂第三方服务器上面(阿里,腾讯,百度等)。但如果业务功能上面确实存在做对人脸数据的处理的话,这边得从以下几点考虑:
- 静态的数据: 人脸图像数据需要进行强加密处理。
- 动态的数据:传输协议建议采用TLSv1.2以上并且去掉弱密码套件。
- 数据存储的服务器: 人脸存储的服务器放到内网,然后进行严格的访问控制,满足针对隐私的合规型需求。
2. 处理方式
人脸进行校验处理的时候,通常会调用第三方接口来做活体检测,那么api接口调用安全需要考虑的要点:
- 逻辑处理问题。这块可能大部分会认为是功能问题,但因为逻辑问题引起的安全问题更为严重,特别针对异常的情况,一定要做异常逻辑处理,不然就死在这边了。
- 签名认证+ 防重放+防篡改:这三点一般要放在一起来保证整个数据的完整性和机密性。
3. 其他需要关注点
- 批量调用接口,引发的性能问题和服务器拒绝请求问题。
- 越权问题
- 其他相关的敏感信息泄露问题
最后强调一下,图片虽然采用强加密的时候有一定的性能问题,但为了数据安全尽可能的不要采用base64位来传输图片数据。
