1、登录时对用户名、密码、验证码的合法性验证
2、连续登录失败后的处理策略(比如:连续失败3次,锁定账号一段时间
3、用户名的规则
4、密码策略(比如:长度限制、字符限制、不能与账号相同等)
5、密码输入框不允许粘贴复制
6、用户登录密码是否是可见
7、是否有密码过期策略
8、密码是否采取符合要求的加密算法
9、密码不能明文传输
10、 日志 中是否记录明文密码
11、 数据库 中不能记录明文密码
12、验证码的失效时间验证
13、用户退出系统后是否删除了所有鉴权标记
14、是否可以使用后退键而不通过输入口令进入系统
15、检查是否有页面可以绕过登录页面进行访问
16、页面超时机制的验证
17、cookie中是否保存用户名密码,如果保存要加密
18、验证是否存在注入式sql攻击漏洞
19、对于安全性高的系统,最好使用https
2、连续登录失败后的处理策略(比如:连续失败3次,锁定账号一段时间
3、用户名的规则
4、密码策略(比如:长度限制、字符限制、不能与账号相同等)
5、密码输入框不允许粘贴复制
6、用户登录密码是否是可见
7、是否有密码过期策略
8、密码是否采取符合要求的加密算法
9、密码不能明文传输
10、 日志 中是否记录明文密码
11、 数据库 中不能记录明文密码
12、验证码的失效时间验证
13、用户退出系统后是否删除了所有鉴权标记
14、是否可以使用后退键而不通过输入口令进入系统
15、检查是否有页面可以绕过登录页面进行访问
16、页面超时机制的验证
17、cookie中是否保存用户名密码,如果保存要加密
18、验证是否存在注入式sql攻击漏洞
19、对于安全性高的系统,最好使用https
扫一扫
570
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
