1.xss跨站腳本攻擊
數據輸入參數中輸入簡單的js語句看會不會執行
常見的惡意JS腳本有獲取用戶的cookie、或者是鍵盤鈎子來記錄用戶的鍵盤輸入
2.CSRF跨站請求偽造
是一種劫持受信任用戶向服務器發送非預期請求的攻擊方式
通常情況下,CSRF 攻擊是攻擊者借助受害者的 Cookie 騙取服務器的信任,可以在受害者毫不知情的情況下以受害者名義偽造請求發送給受攻擊服務器,從而在並未授權的情況下執行在權限保護之下的操作。
目前使用一般使用驗證碼來避免
3.sql 注入
在查詢參數中,輸入正確的查詢條件1=1,其他SQL,查看返回結果
目前這種安全性問題已經絕跡了,除非是lowb寫的代碼
4.登錄認證
抓包是否存在明文的用戶名和密碼
5.代碼注釋
源代碼注釋部分是否含有敏感信息
6.鎖定機制
多次登錄錯誤,對賬號進行臨時鎖定
7.驗證碼
驗證碼需一致方可通過驗證
8.修改密碼
需輸入舊密碼或者發送短信驗證
9.默認賬戶名稱
默認賬戶名稱密碼,設置復雜些
10.錯誤頁面跳轉提示
跳轉的提示是否出現代碼等錯誤,捕獲異常跳轉至同一錯誤頁面,避免對外泄露詳細錯誤信息
11.目錄權限
a能夠看到a上級的信息