[b]驗證碼:
[/b]1、設置驗證碼錯誤次數,一個驗證碼只能驗證一次。
2、驗證碼的真實信息放在session中。
3、短信碼和郵件驗證碼6位以上,數字和字母組合,圖片驗證碼加干擾線。
[b]用戶登錄:
[/b]1、單時間段內用戶的密碼錯誤次數限制。
2、同一個IP登錄錯誤次數限制,批量用戶登錄限制(企業、學校等機構需要設置白名單)。
[b]API登錄:
[/b]1、設置登錄密鑰,綁定當前主機。
2、登錄密鑰clientKey需要不可預測,key的生成算法加入隨機數。
3、禁止搜索引擎收錄。
[b]用戶註冊:
[/b]1、設計驗證碼。
2、採用用戶機器唯一識別碼,攔截短時間多次註冊。
3、根據賬號格式自學習識別垃圾賬號(該功能需要深入學習)。
4、SQL注入,XSS漏洞。
[b]密碼找回:
[/b]1、接受驗證碼的手機號或者郵箱不可有用戶控制,從數據庫中讀取。
2、加強驗證碼複雜度,防止暴力破解。
3、限制短信碼錯誤次數,單個用戶30分鐘內錯誤3次,那麼半小時內禁止找回密碼。
4、短信碼超時時間。
5、獲取短信碼的地方設置圖片驗證碼,防止短信轟炸和批量找回。
6、驗證簽到送過來的憑證是否爲該用戶的(憑證跟用戶id,用戶名是否匹配)。
[b]資料查看:
[/b]1、驗證用戶權限(將交易流水、地址信息與用戶綁定)。
2、將用戶信息存儲到session,不要放在request,避免攻擊者修改用戶id。
[b]投票/積分/抽獎
[/b]1、防止批量註冊。
2、機器識別碼驗證,每臺機器都根據硬件信息生成唯一的識別碼。
3、用戶需要登錄,並將用戶信息保存在session。
[b]充值支付
[/b]防止客戶端可以修改單價、總價和購買數量以及利用時間差多次購買(手機刷QQ鑽)
1、保證數據可信,商品單價和總價不可從客戶端獲取。
2、商品數量必須大於0。
3、支付鎖定機制,當一個支付操作開始就應該立馬鎖定當前賬戶,不能兩個請求同時對餘額進行操作。
[/b]1、設置驗證碼錯誤次數,一個驗證碼只能驗證一次。
2、驗證碼的真實信息放在session中。
3、短信碼和郵件驗證碼6位以上,數字和字母組合,圖片驗證碼加干擾線。
[b]用戶登錄:
[/b]1、單時間段內用戶的密碼錯誤次數限制。
2、同一個IP登錄錯誤次數限制,批量用戶登錄限制(企業、學校等機構需要設置白名單)。
[b]API登錄:
[/b]1、設置登錄密鑰,綁定當前主機。
2、登錄密鑰clientKey需要不可預測,key的生成算法加入隨機數。
3、禁止搜索引擎收錄。
[b]用戶註冊:
[/b]1、設計驗證碼。
2、採用用戶機器唯一識別碼,攔截短時間多次註冊。
3、根據賬號格式自學習識別垃圾賬號(該功能需要深入學習)。
4、SQL注入,XSS漏洞。
[b]密碼找回:
[/b]1、接受驗證碼的手機號或者郵箱不可有用戶控制,從數據庫中讀取。
2、加強驗證碼複雜度,防止暴力破解。
3、限制短信碼錯誤次數,單個用戶30分鐘內錯誤3次,那麼半小時內禁止找回密碼。
4、短信碼超時時間。
5、獲取短信碼的地方設置圖片驗證碼,防止短信轟炸和批量找回。
6、驗證簽到送過來的憑證是否爲該用戶的(憑證跟用戶id,用戶名是否匹配)。
[b]資料查看:
[/b]1、驗證用戶權限(將交易流水、地址信息與用戶綁定)。
2、將用戶信息存儲到session,不要放在request,避免攻擊者修改用戶id。
[b]投票/積分/抽獎
[/b]1、防止批量註冊。
2、機器識別碼驗證,每臺機器都根據硬件信息生成唯一的識別碼。
3、用戶需要登錄,並將用戶信息保存在session。
[b]充值支付
[/b]防止客戶端可以修改單價、總價和購買數量以及利用時間差多次購買(手機刷QQ鑽)
1、保證數據可信,商品單價和總價不可從客戶端獲取。
2、商品數量必須大於0。
3、支付鎖定機制,當一個支付操作開始就應該立馬鎖定當前賬戶,不能兩個請求同時對餘額進行操作。
