1.验证码爆破:可以通过获取验证码来找到,在该网站上的手机号,然后通过修改手机密码的获取验证码的时间段内,进行验证码爆破
解决就是:登录时,不给出明确的账号提示。修改密码的时候获取验证码后使用验证码一次后不论正确与否都需要重新获取验证码
用户名枚举,手机号枚举,邮箱枚举:做次数限制,超过次数,限制10分钟
密码爆破:增加密码的复杂度字母大小写+数字,且做错误次数处理,超过10次,封号一天
登录提示:账号或密码错误
2.xss(小心其他网站的接口返回),
3.crsf,
4sql注入,
5.弱密码(8位以上三个不同字符)
6.双因子验证
7.水平越权(修改他人信息)
8.越权文件目录遍历(限制文件的名称,执行权限,虚拟根目录)
9.运行账号权限测试
10.web服务器端口扫描
11.http方法测试
12.web服务器版本信息收集和利用
13.网站目录和归档文件遍历测试
14.robots页面敏感信息查找
15.中间件管理控制台检测
16.web管理控制台检测
17.验证码测试
18.认证错误提示
19.锁定策略测试
20.认证绕过测试
21.找回密码测试
22.不安全的数据传输
23.强口令策略测试
24.权限横向测试
25.权限纵向测试
26.文件上传测试
27.文件下载测试(用户越权下载)
28.文件下载测试(操作系统越权)
29.链接数据库的账号密码加密测试
30.系统异常处理(不存在的url)测试
31.系统异常处理(非法字符)测试
32.跨站脚本(get,posst)
33.sql注入测试
系统对一个访问帐户或一个请求进程占用的资源分配做限制:指的就是ngnix配置的单个进程的最大连接数
管理员闲时会话自动退出(30分钟),然后就是账号过期时间