,如将目录遍历(....凭证校验 禁止在响应中返回验证码,服务器端同时校验密码、短信验证码等凭证信息,防止出现多阶段认证绕过的漏洞。...在多个验证操作中,要对各验证机制进行排序,以防出现跳过前面验证机制直接到最后步认证的安全风险
密码使用 应用开发中禁止设置万能密码、硬编码明文的密 码、使用数据库管理员账户操作、不同用户公用账 户操作或者将密码输出到日志文件或者控制台...,临时写入内存或文件中的敏感数据,应及时清除和释放
敏感信息维护 敏感信息维护时,禁止将源码或SQL库上传到开源平台或社区,如 Github、开源中国等。...CSRF跨站请求伪造 Token使用 在重要操作的表单中增加会话生成的 Token字段次一用,提交后在服务端校验该字段
二次验证 在关键表单提交时,要求用户进行二次身份验证如密码、图片验证码、短信验证码等