1.驗證碼爆破:可以通過獲取驗證碼來找到,在該網站上的手機號,然后通過修改手機密碼的獲取驗證碼的時間段內,進行驗證碼爆破
解決就是:登錄時,不給出明確的賬號提示。修改密碼的時候獲取驗證碼后使用驗證碼一次后不論正確與否都需要重新獲取驗證碼
用戶名枚舉,手機號枚舉,郵箱枚舉:做次數限制,超過次數,限制10分鍾
密碼爆破:增加密碼的復雜度字母大小寫+數字,且做錯誤次數處理,超過10次,封號一天
登錄提示:賬號或密碼錯誤
2.xss(小心其他網站的接口返回),
3.crsf,
4sql注入,
5.弱密碼(8位以上三個不同字符)
6.雙因子驗證
7.水平越權(修改他人信息)
8.越權文件目錄遍歷(限制文件的名稱,執行權限,虛擬根目錄)
9.運行賬號權限測試
10.web服務器端口掃描
11.http方法測試
12.web服務器版本信息收集和利用
13.網站目錄和歸檔文件遍歷測試
14.robots頁面敏感信息查找
15.中間件管理控制台檢測
16.web管理控制台檢測
17.驗證碼測試
18.認證錯誤提示
19.鎖定策略測試
20.認證繞過測試
21.找回密碼測試
22.不安全的數據傳輸
23.強口令策略測試
24.權限橫向測試
25.權限縱向測試
26.文件上傳測試
27.文件下載測試(用戶越權下載)
28.文件下載測試(操作系統越權)
29.鏈接數據庫的賬號密碼加密測試
30.系統異常處理(不存在的url)測試
31.系統異常處理(非法字符)測試
32.跨站腳本(get,posst)
33.sql注入測試
系統對一個訪問帳戶或一個請求進程占用的資源分配做限制:指的就是ngnix配置的單個進程的最大連接數
管理員閑時會話自動退出(30分鍾),然后就是賬號過期時間