1.xss跨站腳本攻擊
數(shù)據(jù)輸入?yún)?shù)中輸入簡單的js語句看會不會執(zhí)行
常見的惡意JS腳本有獲取用戶的cookie�����、或者是鍵盤鉤子來記錄用戶的鍵盤輸入
2.CSRF跨站請求偽造
是一種劫持受信任用戶向服務(wù)器發(fā)送非預(yù)期請求的攻擊方式
通常情況下�,CSRF 攻擊是攻擊者借助受害者的 Cookie 騙取服務(wù)器的信任,可以在受害者毫不知情的情況下以受害者名義偽造請求發(fā)送給受攻擊服務(wù)器�,從而在并未授權(quán)的情況下執(zhí)行在權(quán)限保護之下的操作。
目前使用一般使用驗證碼來避免
3.sql 注入
在查詢參數(shù)中��,輸入正確的查詢條件1=1���,其他SQL�,查看返回結(jié)果
目前這種安全性問題已經(jīng)絕跡了�����,除非是lowb寫的代碼
4.登錄認證
抓包是否存在明文的用戶名和密碼
5.代碼注釋
源代碼注釋部分是否含有敏感信息
6.鎖定機制
多次登錄錯誤���,對賬號進行臨時鎖定
7.驗證碼
驗證碼需一致方可通過驗證
8.修改密碼
需輸入舊密碼或者發(fā)送短信驗證
9.默認賬戶名稱
默認賬戶名稱密碼�����,設(shè)置復(fù)雜些
10.錯誤頁面跳轉(zhuǎn)提示
跳轉(zhuǎn)的提示是否出現(xiàn)代碼等錯誤���,捕獲異常跳轉(zhuǎn)至同一錯誤頁面�,避免對外泄露詳細錯誤信息
11.目錄權(quán)限
a能夠看到a上級的信息
推薦閱讀:
本文內(nèi)容不用于商業(yè)目的�,如涉及知識產(chǎn)權(quán)問題����,請權(quán)利人聯(lián)系SPASVO小編(021-60725088-8054),我們將立即處理�,馬上刪除。
sales@spasvo.com
