web安全测试 -威尼斯人2299

玩技e族 渗透测试评论102字数 6085阅读20分17秒阅读模式

  常见问题: 文章源自玩技e族-https://www.playezu.com/11949.html

 1.xss(crosssite script)跨站脚本攻击

 文章源自玩技e族-https://www.playezu.com/11949.html

 xss(crosssite script)跨站脚本攻击。它指的是恶意攻击者往web 页面里插入恶意html代码,当用户浏览该页之时,嵌入其中web 里面的html 代码会被执行,从而达文章源自玩技e族-https://www.playezu.com/11949.html

  到恶意用户的特殊目的。文章源自玩技e族-https://www.playezu.com/11949.html

 文章源自玩技e族-https://www.playezu.com/11949.html

  测试方法: 文章源自玩技e族-https://www.playezu.com/11949.html

  在数据输入界面,添加记录输入:文章源自玩技e族-https://www.playezu.com/11949.html

,添加成功如果弹出对话框,表明此处存在一个xss 漏洞文章源自玩技e族-https://www.playezu.com/11949.html

 文章源自玩技e族-https://www.playezu.com/11949.html

 文章源自玩技e族-https://www.playezu.com/11949.html

  或把url请求中参数改为文章源自玩技e族-https://www.playezu.com/11949.html

,如果页面弹出对话框,表明此处存在一个xss 漏洞文章源自玩技e族-https://www.playezu.com/11949.html

 文章源自玩技e族-https://www.playezu.com/11949.html

 文章源自玩技e族-https://www.playezu.com/11949.html

  修改建议:文章源自玩技e族-https://www.playezu.com/11949.html

  过滤掉用户输入中的危险字符。对输入数据进行客户端和程序级的校验(如通过正则表达式等)。文章源自玩技e族-https://www.playezu.com/11949.html

 文章源自玩技e族-https://www.playezu.com/11949.html

  eg:对用户输入的地方和变量有没有做长度和对”<”,”>”,”;”,”’”等字符是否做过滤文章源自玩技e族-https://www.playezu.com/11949.html

 文章源自玩技e族-https://www.playezu.com/11949.html

  2.csrf与跨站脚本(xss)

 文章源自玩技e族-https://www.playezu.com/11949.html

  csrf与跨站脚本(xss),是指请求迫使某个登录的浏览器向易受攻击的web应用发送一个请求,然后以受害者的名义,为入侵者的利益进行所选择的行动。文章源自玩技e族-https://www.playezu.com/11949.html

 文章源自玩技e族-https://www.playezu.com/11949.html

  :文章源自玩技e族-https://www.playezu.com/11949.html

  同个浏览器打开两个页面,一个页面权限失效后,另一个页面是否可操作成功文章源自玩技e族-https://www.playezu.com/11949.html

 文章源自玩技e族-https://www.playezu.com/11949.html

  使用工具发送请求,在http请求头中不加入referer字段,检验返回消息的应答,应该重新定位到错误界面或者登陆界面。文章源自玩技e族-https://www.playezu.com/11949.html

 文章源自玩技e族-https://www.playezu.com/11949.html

  修改建议:文章源自玩技e族-https://www.playezu.com/11949.html

  在不同的会话中两次发送同一请求并且收到相同的响应。这显示没有任何参数是动态的(会话标识仅在cookie 中发送),因此应用程序易受到此问题攻击。因此解决的方法为文章源自玩技e族-https://www.playezu.com/11949.html

 文章源自玩技e族-https://www.playezu.com/11949.html

  1.cookie hashing(所有表单都包含同一个伪随机值):文章源自玩技e族-https://www.playezu.com/11949.html

 文章源自玩技e族-https://www.playezu.com/11949.html

  2.  验证码文章源自玩技e族-https://www.playezu.com/11949.html

 文章源自玩技e族-https://www.playezu.com/11949.html

  3.one‐time tokens(不同的表单包含一个不同的伪随机值)客户端保护措施:应用防止文章源自玩技e族-https://www.playezu.com/11949.html

 文章源自玩技e族-https://www.playezu.com/11949.html

  csrf攻击的工具或插件。文章源自玩技e族-https://www.playezu.com/11949.html

 文章源自玩技e族-https://www.playezu.com/11949.html

  3.注入测试

 文章源自玩技e族-https://www.playezu.com/11949.html

sql注入是通过把sql命令插入到web表单递交或输入域名或页面请求的查询字符文章源自玩技e族-https://www.playezu.com/11949.html

  串,最终达到欺骗服务器执行恶意的sql命令。文章源自玩技e族-https://www.playezu.com/11949.html

 文章源自玩技e族-https://www.playezu.com/11949.html

  :文章源自玩技e族-https://www.playezu.com/11949.html

  在需要进行查询的页面,输入正确查询条件 and 1=1等简单sql语句,查看应答结果,如与输入正确查询条件返回结果一致,表明应用程序对用户输入未进行过滤,可以初步判断此处存在sql注入漏洞文章源自玩技e族-https://www.playezu.com/11949.html

 文章源自玩技e族-https://www.playezu.com/11949.html

  修改建议:文章源自玩技e族-https://www.playezu.com/11949.html

  对用户的输入进行校验,可以通过正则表达式,或限制长度;对以下关键字进行转换等;文章源自玩技e族-https://www.playezu.com/11949.html

 ||alert|and|exec|execute|insert|select|delete|update|count|drop|chr|mid|master|truncate|declare|sitename|netuser|xp_cmdshell|or| |,|like'|and|exec|execute|insert|create|drop|table|from|grant|group_concat|column_name|information_schema.columns|table_schema|union|where|select|delete|update|order|by|count|chr|mid|master|truncate|declare|or|--| |,|like|//


不要使用动态拼装sql,可以使用参数化的sql或者直接使用存储过程进行数据查询存取;
文章源自玩技e族-https://www.playezu.com/11949.html

  不要使用管理员权限的数据库连接,为每个应用使用单独的权限有限的数据库连接;文章源自玩技e族-https://www.playezu.com/11949.html

 文章源自玩技e族-https://www.playezu.com/11949.html

  应用的异常信息应该给出尽可能少的提示,最好使用自定义的错误信息对原始错误信息进行包装。文章源自玩技e族-https://www.playezu.com/11949.html

 文章源自玩技e族-https://www.playezu.com/11949.html

  4.登录认证测试

 文章源自玩技e族-https://www.playezu.com/11949.html

 4.1暴力破解

  暴力破解是目前最直接有效的攻击方式,特别对于金融业务来说,很多情况下口令都为6位纯数字,很容易被攻击。本测试项在于检查认证系统对暴力破解的防护性。文章源自玩技e族-https://www.playezu.com/11949.html

 文章源自玩技e族-https://www.playezu.com/11949.html

  :文章源自玩技e族-https://www.playezu.com/11949.html

  启动抓包工具,同时打开浏览器输入用户登录页面,输入用户名、密码以及验证码,进行登录,如果在抓包中存在明文的用户名和密码,说明存在弱点。文章源自玩技e族-https://www.playezu.com/11949.html

 文章源自玩技e族-https://www.playezu.com/11949.html

  修改建议:文章源自玩技e族-https://www.playezu.com/11949.html

  将请求方式从http方式修改为https方式或者对输入的用户名和密码进行加密,在服务端对密码进行验证文章源自玩技e族-https://www.playezu.com/11949.html

 文章源自玩技e族-https://www.playezu.com/11949.html

  4.2代码注释

  开发版本的web程序所带有的注释在发布版本中没有被去掉,而导致一些敏感信息的泄漏。我们要查看客户端能看到的页面源代码并发现此类安全隐患。文章源自玩技e族-https://www.playezu.com/11949.html

 文章源自玩技e族-https://www.playezu.com/11949.html

  :文章源自玩技e族-https://www.playezu.com/11949.html

  打开登陆页面(或者待测试页面),点击浏览器邮件,查看源代码,检查源代码注释部分是否有敏感信息泄露,敏感信息包括以下内容:字段文字描述、内网 ip 地址、sql 语句以及物理路径等等。文章源自玩技e族-https://www.playezu.com/11949.html

 文章源自玩技e族-https://www.playezu.com/11949.html

  修改建议:文章源自玩技e族-https://www.playezu.com/11949.html

  请勿在html  注释中遗留任何重要信息(如文件名或文件路径)。文章源自玩技e族-https://www.playezu.com/11949.html

  从生产站点注释中除去以前(或未来)站点链接的跟踪信息。文章源自玩技e族-https://www.playezu.com/11949.html

  避免在html  注释中放置敏感信息。文章源自玩技e族-https://www.playezu.com/11949.html

  确保html  注释不包括源代码片段。文章源自玩技e族-https://www.playezu.com/11949.html

 文章源自玩技e族-https://www.playezu.com/11949.html

  4.3 用户名破解

  为了进行暴力破解,攻击者需要知道已存在的用户名,再对该用户名进行攻击。文章源自玩技e族-https://www.playezu.com/11949.html

 文章源自玩技e族-https://www.playezu.com/11949.html

  :文章源自玩技e族-https://www.playezu.com/11949.html

  在登录界面输入不存在的用户名和任意的口令,如果提示用户名不存在,则说明存在漏洞;使用正确的用户名和错误的口令进行登录,如果提示口令或密码错误,则说明存在漏洞。文章源自玩技e族-https://www.playezu.com/11949.html

 文章源自玩技e族-https://www.playezu.com/11949.html

  修改建议:文章源自玩技e族-https://www.playezu.com/11949.html

  服务器对所有的登陆错误原因进行统一的应答,不会提示准确的错误提示信息。文章源自玩技e族-https://www.playezu.com/11949.html

 文章源自玩技e族-https://www.playezu.com/11949.html

  4.4

  在缺少锁定策略和验证码设计有问题的情况下,攻击者可以通过枚举的方式来进行暴力猜解。文章源自玩技e族-https://www.playezu.com/11949.html

 文章源自玩技e族-https://www.playezu.com/11949.html

  :文章源自玩技e族-https://www.playezu.com/11949.html

  在登录页面,输入正确的用户名、错误的口令以及正确的验证码,提交表单,重复10文章源自玩技e族-https://www.playezu.com/11949.html

  次,如果系统没有返回类似账号锁定的信息,则说明存在漏洞。文章源自玩技e族-https://www.playezu.com/11949.html

 文章源自玩技e族-https://www.playezu.com/11949.html

  修改建议:文章源自玩技e族-https://www.playezu.com/11949.html

  在用户进行错误登录次数达到系统配置后,需要对该账号或者该ip进行临时锁定,到达解锁条件后再进行解锁。文章源自玩技e族-https://www.playezu.com/11949.html

 文章源自玩技e族-https://www.playezu.com/11949.html

  4.5

  查看是否有验证码机制,以及验证码机制是否完善,避免使用自动化工具重复登录和进行业务操作。文章源自玩技e族-https://www.playezu.com/11949.html

 文章源自玩技e族-https://www.playezu.com/11949.html

  测试方法:文章源自玩技e族-https://www.playezu.com/11949.html

  打开登陆页面查看是否存在验证码,如果不存在说明存在漏洞。文章源自玩技e族-https://www.playezu.com/11949.html

 文章源自玩技e族-https://www.playezu.com/11949.html

  输入正确的用户名和口令以及错误的验证码,如果只是提示验证码错误,则说明存在漏洞。文章源自玩技e族-https://www.playezu.com/11949.html

 文章源自玩技e族-https://www.playezu.com/11949.html

  选择验证码,点击右键,验证码是图片形式且在一张图片中,如果不是,则说明存在漏洞。文章源自玩技e族-https://www.playezu.com/11949.html

 文章源自玩技e族-https://www.playezu.com/11949.html

  观察验证码图片中背景是否存在无规律的点或线条,如果背景为纯色(例如只有白色)说明存在漏洞。文章源自玩技e族-https://www.playezu.com/11949.html

 文章源自玩技e族-https://www.playezu.com/11949.html

  修改建议:文章源自玩技e族-https://www.playezu.com/11949.html

  将验证码生成放在在一张进行了混淆处理的图片上。文章源自玩技e族-https://www.playezu.com/11949.html

 文章源自玩技e族-https://www.playezu.com/11949.html

  4.6

  测试方法:文章源自玩技e族-https://www.playezu.com/11949.html

  进入系统的口令修改界面,查看是否必须输入旧口令,如果不需要则存在漏洞。文章源自玩技e族-https://www.playezu.com/11949.html

 文章源自玩技e族-https://www.playezu.com/11949.html

  修改建议:文章源自玩技e族-https://www.playezu.com/11949.html

  用户修改密码时必须提供旧密码,且新密码不能与旧密码相同,密码要有一定复杂度,参见口令规则建议。文章源自玩技e族-https://www.playezu.com/11949.html

 文章源自玩技e族-https://www.playezu.com/11949.html

  4.7 默认账户名称设置

  一般系统均设有默认登录用户,以及超级管理员账号,如登录账号过于简单将易被破解,造成超级权限泄露。文章源自玩技e族-https://www.playezu.com/11949.html

 文章源自玩技e族-https://www.playezu.com/11949.html

  修改建议:文章源自玩技e族-https://www.playezu.com/11949.html

  上线系统清除超级管理员权限用户,或增加超级管理员登录名复杂度,不要设置成易猜测的admin、superadmin等名称。文章源自玩技e族-https://www.playezu.com/11949.html

 文章源自玩技e族-https://www.playezu.com/11949.html

  4.8 错误的页面信息

  404、500等错误或警告消息,可能会泄露敏感信息。文章源自玩技e族-https://www.playezu.com/11949.html

 文章源自玩技e族-https://www.playezu.com/11949.html

  修改建议:文章源自玩技e族-https://www.playezu.com/11949.html

  捕获异常跳转至统一错误页面,避免对外泄漏详细错误信息。文章源自玩技e族-https://www.playezu.com/11949.html

 文章源自玩技e族-https://www.playezu.com/11949.html

  5.会话管理测试未更新

 文章源自玩技e族-https://www.playezu.com/11949.html

  5.1会话标识测试

 文章源自玩技e族-https://www.playezu.com/11949.html

  查看登录成功后会话标识是否变更。如果未变更,那么攻击者就可以通过一些手段(如构造url)为受害着确定一个会话标识,当受害者登录成功后,攻击者也可以利用这个文章源自玩技e族-https://www.playezu.com/11949.html

  会话标识冒充受害者访问系统。文章源自玩技e族-https://www.playezu.com/11949.html

 文章源自玩技e族-https://www.playezu.com/11949.html

  测试方法:文章源自玩技e族-https://www.playezu.com/11949.html

  启动抓包工具或浏览器自带开发者模式打开登录页面,输入正确的用户名、口令以及验证码,进行登录,登录后,进行任意一项业务操作。如果登录的sessionid和进行业务的sessionid没有变化,则说明存在漏洞。文章源自玩技e族-https://www.playezu.com/11949.html

 文章源自玩技e族-https://www.playezu.com/11949.html

  修改建议:文章源自玩技e族-https://www.playezu.com/11949.html

  对每次请求都从上次请求获得令牌,服务端对每次交互都进行验证文章源自玩技e族-https://www.playezu.com/11949.html

  查看是否存在浏览器窗口闲置超时后需重新登录的机制文章源自玩技e族-https://www.playezu.com/11949.html

 文章源自玩技e族-https://www.playezu.com/11949.html

  5.2会话超时测试

 文章源自玩技e族-https://www.playezu.com/11949.html

  测试方法:文章源自玩技e族-https://www.playezu.com/11949.html

  打开登录界面,输入正确的用户名和口令,进行登录,进行一项业务操作,将浏览器空闲超过30分钟,在进行其他业务操作,如果能够进行其他业务操作,则说明存在漏洞。文章源自玩技e族-https://www.playezu.com/11949.html

 文章源自玩技e族-https://www.playezu.com/11949.html

  修改建议:文章源自玩技e族-https://www.playezu.com/11949.html

  需要在后台进行配置session的超时时间。文章源自玩技e族-https://www.playezu.com/11949.html

 文章源自玩技e族-https://www.playezu.com/11949.html

  5.3会话清除测试

 文章源自玩技e族-https://www.playezu.com/11949.html

  用户注销后会话信息需要清除,否则会导致用户在点击注销按钮之后还能继续访问注销之前才能访问的页面。文章源自玩技e族-https://www.playezu.com/11949.html

 文章源自玩技e族-https://www.playezu.com/11949.html

  测试方法:文章源自玩技e族-https://www.playezu.com/11949.html

  进入登录页面,输入正确的用户名和密码,登录成功后,进行一些业务操作,点击注销按钮,在浏览器输入地址,输入上面进行业务操作的地址,如果能够正常返回业务页面,则说明存在漏洞。文章源自玩技e族-https://www.playezu.com/11949.html

 文章源自玩技e族-https://www.playezu.com/11949.html

  修改建议:文章源自玩技e族-https://www.playezu.com/11949.html

 文章源自玩技e族-https://www.playezu.com/11949.html

  在用户注销后,必须将用户的session信息以及缓存信息全部清空。文章源自玩技e族-https://www.playezu.com/11949.html

    6其他

 文章源自玩技e族-https://www.playezu.com/11949.html

  6.1文件目录测试

 文章源自玩技e族-https://www.playezu.com/11949.html

  目录列表能够造成信息泄漏,而且对于攻击者而言是非常容易进行的。所以在测试过程中,要注意目录列表漏洞。文章源自玩技e族-https://www.playezu.com/11949.html

 文章源自玩技e族-https://www.playezu.com/11949.html

  测试方法:文章源自玩技e族-https://www.playezu.com/11949.html

 文章源自玩技e族-https://www.playezu.com/11949.html

  通过浏览器访问web 服务器上的所有目录,检查是否返回目录结构,如果显示的是目录结构,则可能存在安全问题;文章源自玩技e族-https://www.playezu.com/11949.html

 文章源自玩技e族-https://www.playezu.com/11949.html

  或使用dirbuster软件进行测试;文章源自玩技e族-https://www.playezu.com/11949.html

 文章源自玩技e族-https://www.playezu.com/11949.html

  修改建议:文章源自玩技e族-https://www.playezu.com/11949.html

 文章源自玩技e族-https://www.playezu.com/11949.html

  1.针对每个directory 域都使用allow 、deny 等指令设置,严格设定web服务器的目录访问权限;文章源自玩技e族-https://www.playezu.com/11949.html

 文章源自玩技e族-https://www.playezu.com/11949.html

  2.删除options 指令下的indexes 设置项;文章源自玩技e族-https://www.playezu.com/11949.html

 文章源自玩技e族-https://www.playezu.com/11949.html

  6.2文件上传漏洞

 文章源自玩技e族-https://www.playezu.com/11949.html

  文件上传漏洞通常由于网页代码中的文件上传路径变量过滤不严造成的,如果文件上传功能实现代码没有严格限制用户上传的文件后缀以及文件类型,攻击者可通过 web 访问的目录上传任意文件,包括网站后门文件(webshell),进而远程控制网站服务器。文章源自玩技e族-https://www.playezu.com/11949.html

 文章源自玩技e族-https://www.playezu.com/11949.html

  修改建议:文章源自玩技e族-https://www.playezu.com/11949.html

 文章源自玩技e族-https://www.playezu.com/11949.html

  严格限制和校验上传的文件类型、大小等,禁止上传恶意代码的文件。同时限制相关目录的执行权限,防范webshell攻击。文章源自玩技e族-https://www.playezu.com/11949.html

 文章源自玩技e族-https://www.playezu.com/11949.html

  6.3http请求方法测试

 文章源自玩技e族-https://www.playezu.com/11949.html

  有些web服务器默认情况下开放了一些不必要的http方法(如delete、put、trace、move、copy),这样就增加了受攻击面。文章源自玩技e族-https://www.playezu.com/11949.html

 文章源自玩技e族-https://www.playezu.com/11949.html

  测试方法:文章源自玩技e族-https://www.playezu.com/11949.html

 文章源自玩技e族-https://www.playezu.com/11949.html

  使用soapui等工具,发送除get、post以外的方法请求,如接收应答为200ok,代表启用了不必要的方法。文章源自玩技e族-https://www.playezu.com/11949.html

 文章源自玩技e族-https://www.playezu.com/11949.html

  修改建议:文章源自玩技e族-https://www.playezu.com/11949.html

 文章源自玩技e族-https://www.playezu.com/11949.html

  在tomcat  web.xml中增加如下内容:文章源自玩技e族-https://www.playezu.com/11949.html

 文章源自玩技e族-https://www.playezu.com/11949.html

 
      
        /*
        put
        delete
        head
        options
        trace
      
      
      
  
  
    basic

  6.4 服务器安全策略

 文章源自玩技e族-https://www.playezu.com/11949.html

  1.服务器用户权限文章源自玩技e族-https://www.playezu.com/11949.html

 文章源自玩技e族-https://www.playezu.com/11949.html

  运行web服务器的操作系统账号权限越高,那么web遭到攻击产生的危害就越大。部署到生产环境运行时是不能用root等最高权限的,一切都给予以最小权限。文章源自玩技e族-https://www.playezu.com/11949.html

 文章源自玩技e族-https://www.playezu.com/11949.html

  2.关闭无关端口文章源自玩技e族-https://www.playezu.com/11949.html

 文章源自玩技e族-https://www.playezu.com/11949.html

  网络上被攻陷的大多数主机,是黑客用扫描工具大范围进行扫描而被瞄准上的。所以,为了避免被扫描到,除了必要的端口,例如 web、ftp、ssh 等,其他的都应关闭。文章源自玩技e族-https://www.playezu.com/11949.html

 文章源自玩技e族-https://www.playezu.com/11949.html

  如:关闭 icmp 端口,并设置规则,丢弃 icmp 包。这样他人无法 ping到服务器,服务器安全得到提升。文章源自玩技e族-https://www.playezu.com/11949.html

 文章源自玩技e族-https://www.playezu.com/11949.html

  修改方法:丢弃 icmp 包可在 iptables 中, 加入一条语句:-a input -p icmp -j drop文章源自玩技e族-https://www.playezu.com/11949.html

 文章源自玩技e族-https://www.playezu.com/11949.html

  3.更改默认端口文章源自玩技e族-https://www.playezu.com/11949.html

 文章源自玩技e族-https://www.playezu.com/11949.html

  如:默认的 ssh 端口是 22。建议改成 10000 以上。这样别人扫描到端口的机率也大大下降。文章源自玩技e族-https://www.playezu.com/11949.html

 文章源自玩技e族-https://www.playezu.com/11949.html

  举例修改方法:文章源自玩技e族-https://www.playezu.com/11949.html

 文章源自玩技e族-https://www.playezu.com/11949.html

  # 编辑 /etc/ssh/ssh_configvi /etc/ssh/ssh_config# 在 host * 下 ,加入新的 port 值。以 18439 为例(下同):port 22 port 18439文章源自玩技e族-https://www.playezu.com/11949.html

  # 编辑 /etc/ssh/sshd_configvi /etc/ssh/sshd_config#加入新的 port 值port 22port 18439# 保存后,重启 ssh 服务:service sshd restart文章源自玩技e族-https://www.playezu.com/11949.html

  测试新端口连接正常后,删除 port 22 的配置。同时从 iptables 中, 删除22端口,添加新配置的 18439,并重启 iptables。文章源自玩技e族-https://www.playezu.com/11949.html

 文章源自玩技e族-https://www.playezu.com/11949.html

  4.限制ip登录文章源自玩技e族-https://www.playezu.com/11949.html

 文章源自玩技e族-https://www.playezu.com/11949.html

  如能以固定 ip 方式连接服务器,那么,可以设置只允许某个特定的 ip 登录服务器。 设置如下:文章源自玩技e族-https://www.playezu.com/11949.html

  # 编辑 /etc/hosts.allowvi /etc/hosts.allow# 例如只允许 123.45.67.89 登录sshd:123.45.67.89文章源自玩技e族-https://www.playezu.com/11949.html

 文章源自玩技e族-https://www.playezu.com/11949.html

  5.使用证书登录 ssh文章源自玩技e族-https://www.playezu.com/11949.html

 文章源自玩技e族-https://www.playezu.com/11949.html

  相对于使用密码登录来说,使用证书更为安全,具体方法可参见网络资料。文章源自玩技e族-https://www.playezu.com/11949.html

 文章源自玩技e族-https://www.playezu.com/11949.html

  6.5 口令规则建议

 文章源自玩技e族-https://www.playezu.com/11949.html

  规则1:口令长度的取值范围为:0‐  个字符;口令的最短长度和最长长度可配置;口令的最短长度建议默认为6个字符。文章源自玩技e族-https://www.playezu.com/11949.html

 文章源自玩技e族-https://www.playezu.com/11949.html

  规则2:口令中至少需要包括一个大写字母(a‐z)、一个小写字母(a‐z)、一个数字字符(0‐9);口令是否包含特殊字符要求可以配置。文章源自玩技e族-https://www.playezu.com/11949.html

 文章源自玩技e族-https://www.playezu.com/11949.html

  规则3:口令中允许同一字符连续出现的最大次数可配置,取值范围:0‐9,当取值为  0  时,表示无限制,建议默认为  3。文章源自玩技e族-https://www.playezu.com/11949.html

 文章源自玩技e族-https://www.playezu.com/11949.html

  规则4:口令须设置有效期,最短有效期的取值范围:0‐9999  分钟,当取值为0时,表示不做限制,建议默认:5  分钟;最长有效期的取值范围:0‐999 天,当取值为  0  时,表示口令永久有效,建议默认:90  天。文章源自玩技e族-https://www.playezu.com/11949.html

 文章源自玩技e族-https://www.playezu.com/11949.html

  规则5:在口令到期前,当用户登录时系统须进行提示,提前提示的天数可配置,取值范围:1‐99 天,建议默认:7  天。文章源自玩技e族-https://www.playezu.com/11949.html

 文章源自玩技e族-https://www.playezu.com/11949.html

  规则6:口令到达最长有效期后,用户再次登录成功但在进入系统前,系统强制更改口令,直至更改成功。文章源自玩技e族-https://www.playezu.com/11949.html

 文章源自玩技e族-https://www.playezu.com/11949.html

  规则7:口令历史记录数可配置,取值范围为:0‐;建议默认:3个。 — 文章源自玩技e族-https://www.playezu.com/11949.html

 文章源自玩技e族-https://www.playezu.com/11949.html

  规则8:管理员/操作员/最终用户修改自己的口令时,必须提供旧口令。文章源自玩技e族-https://www.playezu.com/11949.html

 文章源自玩技e族-https://www.playezu.com/11949.html

  规则9:初始口令为系统提供的默认口令、或者是由管理员设定时,则在用户/操作员使用初始口令成功登录后,要强制用户/操作员更改初始口令,直至更改成功。文章源自玩技e族-https://www.playezu.com/11949.html

 文章源自玩技e族-https://www.playezu.com/11949.html

  规则10:口令不能以明文的形式在界面上显示。文章源自玩技e族-https://www.playezu.com/11949.html

 文章源自玩技e族-https://www.playezu.com/11949.html

  规则11:口令不能以明文的形式保存,须加密保存;口令与用户名关联加密,即加密前的数据不仅包括口令,还包括用户名。文章源自玩技e族-https://www.playezu.com/11949.html

 文章源自玩技e族-https://www.playezu.com/11949.html

  规则12:只有当用户通过认证之后才可以修改口令。文章源自玩技e族-https://www.playezu.com/11949.html

 文章源自玩技e族-https://www.playezu.com/11949.html

  规则13:修改口令的帐号只能从服务器端的会话信息中获取,而不能由客户端指定。文章源自玩技e族-https://www.playezu.com/11949.html

 文章源自玩技e族-https://www.playezu.com/11949.html

  6.6  页面输入项校验建议

 文章源自玩技e族-https://www.playezu.com/11949.html

  对输入参数进行处理,建议过滤出所有以下字符:文章源自玩技e族-https://www.playezu.com/11949.html

  [1] |(竖线符号)文章源自玩技e族-https://www.playezu.com/11949.html

  [2] & (& 符号)文章源自玩技e族-https://www.playezu.com/11949.html

  [3];(分号)文章源自玩技e族-https://www.playezu.com/11949.html

  [4] $(美元符号)文章源自玩技e族-https://www.playezu.com/11949.html

  [5] %(百分比符号)文章源自玩技e族-https://www.playezu.com/11949.html

  [6] @(at 符号)文章源自玩技e族-https://www.playezu.com/11949.html

  [7] '(单引号)文章源自玩技e族-https://www.playezu.com/11949.html

  [8] "(引号)文章源自玩技e族-https://www.playezu.com/11949.html

  [9] '(反斜杠转义单引号)文章源自玩技e族-https://www.playezu.com/11949.html

  [10] "(反斜杠转义引号)文章源自玩技e族-https://www.playezu.com/11949.html

  [11] <>(尖括号)文章源自玩技e族-https://www.playezu.com/11949.html

  [12] ()(括号)文章源自玩技e族-https://www.playezu.com/11949.html

  [13] (加号)文章源自玩技e族-https://www.playezu.com/11949.html

  [14] cr(回车符,ascii 0x0d)文章源自玩技e族-https://www.playezu.com/11949.html

  [15] lf(换行,ascii 0x0a)文章源自玩技e族-https://www.playezu.com/11949.html

  [16] ,(逗号)文章源自玩技e族-https://www.playezu.com/11949.html

  [17] (反斜杠)文章源自玩技e族-https://www.playezu.com/11949.html

觉得文章不错的话就点赞哦,转发就更好了文章源自玩技e族-https://www.playezu.com/11949.html

注意:本文法律责任由该作者承担,侵权请联系▷诈骗举报◁▷新闻不符◁▷我要投稿◁
免责声明:本文内容来自用户上传并发布或网络新闻客户端自媒体,玩技博客仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,请联系删除。

发表评论

匿名网友
确定