30
验证码缺陷
验证码不过期(复用)/绕过
1、验证码复杂度应满足一定规则,降低被自动化工具识别的比例
2、验证码需在服务器端生成,并在服务器端认证,避免前端绕过
3、在服务器端,只有在验证码检验通过后,才进行用户名和密码的检验
4、验证识别后,无论是否一致,都需将服务器上存储的验证码清空(销毁session中的验证码)
5、限制用户提交的验证码不能为空
31
业务逻辑漏洞
业务逻辑漏洞
业务逻辑设计不严谨,参数校验不严格,如流程绕过、顺序变更、异常值等
32
任意文件下载
任意文件读取下载(目录遍历)
1、对文件名等相关字段进行校验。
2、禁止绝对路径访问,禁止”../”、“..”等访问上级目录字符串。
