安全测试
1.取或操纵客户会话和 cookie
解决方案
不要接受外部创建的会话标识。
始终生成新的会话,供用户成功认证时登录。
2.防止用户操纵会话标识。
请勿接受用户浏览器登录时所提供的会话标识。
如果有验证码的。验证码改用application存储。同时记得释放资源
在登陆界面后增加下面一段代码,强制让系统session过期
3.不充分帐户封锁
登录尝试次数,帐户锁定大约 10 分钟,通常用这样的方法阻止蛮力攻击。
4.预测用户名和密码
不应使用易于预测的凭证(例如:admin+admin、guest+guest、test+test 等)</