网站安全问题总结

网站安全问题总结

(1)在个人信息修改页面,有上传头像的功能,

但是提交时,可以随便设置头像参数的值,也就是存在如下问题:

我上传的是图片a,

我提交修改信息时,可以设置头像为b

根本原因:有两个地方可以修改头像地址

解决方法:

上传头像时,若上传成功,则把上传成功的链接地址存储到session中,

提交修改时,头像地址不从参数中获取,而是从session中获取.

 

(2)手机号换绑时,旧手机号可以不是登录用户的

解决方法:换绑时,先校验旧手机号是否是当前登录用户的,若不是,则报错.

 

(3)手机号注册时没有校验图形验证码

为什么手机号注册时,没有校验图形验证码呢?

因为发送手机短信时,用到了图形验证码,也就是图形验证码已经拦了一道了.

如果注册时,还需要图形验证码,那一次注册,就输了两次图形验证码,用户体验不好,所以就没有拦截.

但是出了一个安全问题:用户可以无次数限制地访问注册接口,尝试不同的手机短信注册码,可以完成暴力破解.

根本原因:

(1)注册接口对同一个手机号没有限制注册次数;

(2)注册接口如果注册失败没有要求校验图形验证码

解决方法:

注册接口对同一个手机号限制注册次数,比如一小时内,同一个手机只能访问注册接口10次,

或者访问注册接口三次,就要求访问下发送注册短信的接口.

调用注册接口时防止机器自动化攻击,增加图形验证码