1.采用弱密码或者无密码进行登录(弱口令)
修复建议:
2.密码可爆破
修复建议:
后端限制一个账号请求次数,次数过多锁定账号
前端输入验证码(类似谷歌的复杂验证码最好,否则可用pkav进行识别爆破,且验证码不可复用,前端验证,容易导致复用)
3.验证码可爆破
修复建议:
加长验证码长度(加长攻击者爆破时间)
限制尝试次数(采用后端验证)
限制验证码的有效时间(1分钟内有效)
4.短信轰炸
修复建议:
前端,后端定时限制
5.手机验证码凭证可查看
当对一个手机号发送验证码之后,后端会给一个包含验证码的返回包
修复建议:
后端不返回验证码
前端控制台不显示验证码
6.万能验证码
1)验证码可复用
攻击使用以前使用过的验证码来通过验证
7.前端验证登录结果
如:{“result”:false}
修复建议:
使用后端验证
8.任意用户密码找回/重置
找回或重置时,发送验证码的手机号,未做绑定,导致可以抓包,修改发送验证码的手机号(比如自己的手机号)并且成功获取验证码
如:url/?step=1 抓包修改为 step=3 直接跳到最后一步
修复建议:
后端对所绑定手机号做验证
前后端完善步骤的判断(如判断是否有正确的执行前面几步的操作)
9.未授权访问他人账号
修复建议:
后端完善会话绑定
前后端加强令牌、cookie的加密强度
10.用户批量注册
可通过抓包,不断发送用户注册请求,导致服务器资源浪费,甚至遍历出他人的账号,以进行进一步的攻击
修复建议:
前后端对注册时间限制
后端对ip进行注册次数限制
11.注册导致存储型xss
修复建议:
12.URL跳转(重定向)漏洞
如果url中有形如以下链接,导致攻击者可向被攻击者发送这样一个网址,如果攻击者点击之后,攻击者将能够盗取被攻击者的信息,恶意软件的安装
http://example.com/?url=http://bedurl.com
修复建议:
13.CSRF漏洞
修复建议:
使用session 会话(令牌)
使用HTTPOnly 防止cookie被盗用
14.登录成功凭证可复用
修复建议:
加强session会话的绑定
销毁登录成功的凭证防止复用
文章来源:CSDN博客(谁不曾是小白捏)
原文地址:https://blog.csdn.net/qq_63217130/article/details/130187929
排版:潇湘信安
点击下方小卡片或扫描下方二维码观看更多技术文章
师傅们点赞、转发、在看就是最大的支持