,应拒绝处理
访问控制 不可信数据通过上述校验后,还应确认所提交的内容是否与用户的身份匹配,避免越权访问
2.2 输出验证
说明 检查项
概述 考虑目标编译器的安全性,对所有输出字符进行正确编码
编码场景...二次验证 在关键表单提交时,要求用户进行二次身份验证如密码、图片验证码、短信验证码等
Referer验证 检验用户请求中 Referer:字段是否存在跨域提交的情况
三、逻辑安全
3.1 身份验证...说明 检查项
概述 所有对非公开的网页和资源的访问,必须在后端服务上执行标准的、通用的身份验证过程
提交凭证 用户凭据必须经过加密且以POST方式提交,建议用HTPS协议来加密通道、认证服务端
错误提示...安全地处理失败的身份校验,如使用"用户名或密码错误"来提示失败,防止泄露过多信息
异常处理 登录入口应具有防止暴力或撞库猜解(利用已泄露的密码字典进行批量登录尝试)的措施,超过1次验证失败自动启用图灵测试...,并通知用户是否是本人操作,告知存在的安全风险
3.7 文件上传安全
说明 检查项
身份校验 进行文件上传时,在服务端对用户的身份进行合法性校验
合法性校验 进行文件上传时,在服务端对文件属性进行合法性校验