网站安全问题总结
(1)在个人信息修改页面,有上传头像的功能,
但是提交时,可以随便设置头像参数的值,也就是存在如下问题:
我上传的是图片a,
我提交修改信息时,可以设置头像为b
根本原因:有两个地方可以修改头像地址
解决方法:
上传头像时,若上传成功,则把上传成功的链接地址存储到session中,
提交修改时,头像地址不从参数中获取,而是从session中获取.
(2)手机号换绑时,旧手机号可以不是登录用户的
解决方法:换绑时,先校验旧手机号是否是当前登录用户的,若不是,则报错.
(3)手机号注册时没有校验图形验证码
为什么手机号注册时,没有校验图形验证码呢?
因为发送手机短信时,用到了图形验证码,也就是图形验证码已经拦了一道了.
如果注册时,还需要图形验证码,那一次注册,就输了两次图形验证码,用户体验不好,所以就没有拦截.
但是出了一个安全问题:用户可以无次数限制地访问注册接口,尝试不同的手机短信注册码,可以完成暴力破解.
根本原因:
(1)注册接口对同一个手机号没有限制注册次数;
(2)注册接口如果注册失败没有要求校验图形验证码
解决方法:
注册接口对同一个手机号限制注册次数,比如一小时内,同一个手机只能访问注册接口10次,
或者访问注册接口三次,就要求访问下发送注册短信的接口.
调用注册接口时防止机器自动化攻击,增加图形验证码