- 博客(2)
- 收藏
- 关注
原创 修改任意密码漏洞
在找回密码时,假如是分成了几个步骤,1.验证账号是否存在,2.验证手机号与账号是否绑定,3.手机验证码是否正确,最后跳转到更新密码的页面,在整个路径下的每个接口,都应校验当前动作是否是当前账号手机号下的操作,以及保存验证码正确的状态,最后提交更新密码时,1.校验当前手机验证成功状态是否存在,存在进入下一个校验2.验证当前手机号与账号是否绑定,绑定才提交密码更新
2018-02-06 14:44:47 888
原创 图片上传校验
上传图片安全隐患:上传的图片,需要做文件头校验,或者图片转换,把上传的图片转换成另一张图片再上传(旋转,裁剪);如果只做.jpg,.png等格式校验,则可以自己写脚本附带一些其它链接地址跳转,再把脚本改为图片格式,上传时浏览器解析图片,执行脚本则可以获取到服务器的任意信息;
2018-02-05 11:08:40 672
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人