1.xss跨站腳本攻擊
數(shù)據(jù)輸入?yún)?shù)中輸入簡單的js語句看會(huì)不會(huì)執(zhí)行
常見的惡意JS腳本有獲取用戶的cookie、或者是鍵盤鉤子來記錄用戶的鍵盤輸入
2.CSRF跨站請求偽造
是一種劫持受信任用戶向服務(wù)器發(fā)送非預(yù)期請求的攻擊方式
通常情況下,CSRF 攻擊是攻擊者借助受害者的 Cookie 騙取服務(wù)器的信任,可以在受害者毫不知情的情況下以受害者名義偽造請求發(fā)送給受攻擊服務(wù)器,從而在并未授權(quán)的情況下執(zhí)行在權(quán)限保護(hù)之下的操作。
目前使用一般使用驗(yàn)證碼來避免
3.sql 注入
在查詢參數(shù)中,輸入正確的查詢條件1=1,其他SQL,查看返回結(jié)果
目前這種安全性問題已經(jīng)絕跡了,除非是lowb寫的代碼
4.登錄認(rèn)證
抓包是否存在明文的用戶名和密碼
5.代碼注釋
源代碼注釋部分是否含有敏感信息
6.鎖定機(jī)制
多次登錄錯(cuò)誤,對賬號(hào)進(jìn)行臨時(shí)鎖定
7.驗(yàn)證碼
驗(yàn)證碼需一致方可通過驗(yàn)證
8.修改密碼
需輸入舊密碼或者發(fā)送短信驗(yàn)證
9.默認(rèn)賬戶名稱
默認(rèn)賬戶名稱密碼,設(shè)置復(fù)雜些
10.錯(cuò)誤頁面跳轉(zhuǎn)提示
跳轉(zhuǎn)的提示是否出現(xiàn)代碼等錯(cuò)誤,捕獲異常跳轉(zhuǎn)至同一錯(cuò)誤頁面,避免對外泄露詳細(xì)錯(cuò)誤信息
11.目錄權(quán)限
a能夠看到a上級(jí)的信息
推薦閱讀:
本文內(nèi)容不用于商業(yè)目的,如涉及知識(shí)產(chǎn)權(quán)問題,請權(quán)利人聯(lián)系SPASVO小編(021-60725088-8054),我們將立即處理,馬上刪除。