失效的身份认证
漏洞案例
漏洞描述
安全编码
失效的身份认证,通过错误使用应用程序的身份认证和会话管理功能,攻击者能够破译密码、密钥或会话令牌,或者利用其它开发缺陷来暂时性或永久性冒充其他用户的身份。
【必须】不允许弱密码 1. 密码包含大小写字母、数字、特殊字符,长度不小于8位 2. 密码中不允许包含用户名、公司域名相关 3. 多因素验证,如短信验证码 【必须】口令存储安全 1. 禁止明文存储口令 2. 禁止使用弱密码学算法(如DES和3DES)加密存储口令 3. 使用不可逆算法和随机salt对口令进行加密存储 【必须】禁止传递明文口令 【必须】禁止在不安全的信道中传输口令
运行
漏洞代码
todo
运行
安全代码
todo