身份认证在登录功能中最为常见的,往往提交的是用户名和密码,在安全性更高的要求下,一些防护措施有防止密码暴力破解的验证码,基于客户端证书,密码复杂度,HTTP/HTTPS加密传输,POST/GET加密传输方式,COOKIES会话管理进行身份认证和会话管理。用户身份认证和会话管理在应用程序上是最为关键的部分,在如下方面存在漏洞: 1、用户更改密码之前丌验证用户,而是验证会话IP地址; 2、没有会话超时限制; 3、用户忘记密码后,密码找回功能太过简单; 4、用户名/密码带入COOKIES会话
声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
全部0条评论
快来发表一下你的评论吧 !