安承悦读

关于逻辑问题的总结(热门3篇)

admin
导读 如果设定token,请确保每个token只能采用一次,并且对token设定时间参数。4. 优惠券,VIP卡号请尽量不要存在规律性和简短性,并且优惠券最好是以数字加字母进行组合。3. 验证码请不要以短数字来验证,最好是以字母加数字进行组合,并且验证码需要设定时间期限。

关于逻辑问题的总结 第1篇

有些关键性的接口因为没有做验证或者其它预防机制,容易遭到枚举攻击。

预防思路:

1. 在输入接口设置验证,如token,验证码等。

如果设定验证码,最好不要单纯的采取一个前端验证,最好选择后端验证。

如果设定token,请确保每个token只能采用一次,并且对token设定时间参数。

2. 注册界面的接口不要返回太多敏感信息,以防遭到黑客制作枚举字典。

3. 验证码请不要以短数字来验证,最好是以字母加数字进行组合,并且验证码需要设定时间期限。

4. 优惠券,VIP卡号请尽量不要存在规律性和简短性,并且优惠券最好是以数字加字母进行组合。

关于逻辑问题的总结 第2篇

用户令牌采取不安全的传输、存储,易被他人获取:

用户令牌在URL中传输:明文传输、发送给他人。

用户令牌存储在日志中:未授权用户易获取。

令牌不失效(会造成固定会话攻击):

用户令牌采取不安全的传输、存储,易被他人获取:

令牌有效期过长(在一段时间内使令牌失效)、令牌尝试次数过多(提交次数一定时要使令牌无效)、无效令牌的重置。

关于逻辑问题的总结 第3篇

解析:

实际上这个应该算作一个软件的漏洞,但是因为和web服务器相关,所以也当作WEB的逻辑漏洞来处理了。最能当作例子是《腾讯QQ存在高危漏洞可读取并下载任意用户离线文件(泄漏敏感信息)》这个漏洞,但是我相信这种奇葩的漏洞不一定只有腾讯才有,只是还没人去检测罢了。

产生这个漏洞的主要原因是程序在确定一个用户的登陆凭证的时候主要是依靠内存值中的某个value来进行确认,而不是cookie。但是内存值是可以更改和查看的。

预防思路:

1. 走服务器端的数据最好做cookie验证。

2. 不反对直接在进程中确定用户的登陆凭证,但是请对进程进行保护,或者对进程中的value做加密处理。