1.xss跨站脚本攻击
数据输入参数中输入简单的js语句看会不会执行
常见的恶意JS脚本有获取用户的cookie、或者是键盘钩子来记录用户的键盘输入
2.CSRF跨站请求伪造
是一种劫持受信任用户向服务器发送非预期请求的攻击方式
通常情况下,CSRF 攻击是攻击者借助受害者的 Cookie 骗取服务器的信任,可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击服务器,从而在并未授权的情况下执行在权限保护之下的操作。
目前使用一般使用验证码来避免
3.sql 注入
在查询参数中,输入正确的查询条件1=1,其他SQL,查看返回结果
目前这种安全性问题已经绝迹了,除非是lowb写的代码
4.登录认证
抓包是否存在明文的用户名和密码
5.代码注释
源代码注释部分是否含有敏感信息
6.锁定机制
多次登录错误,对账号进行临时锁定
7.验证码
验证码需一致方可通过验证
8.修改密码
需输入旧密码或者发送短信验证
9.默认账户名称
默认账户名称密码,设置复杂些
10.错误页面跳转提示
跳转的提示是否出现代码等错误,捕获异常跳转至同一错误页面,避免对外泄露详细错误信息
11.目录权限
a能够看到a上级的信息