安全测试专项培训笔记

身份鉴别

认证方式(需两种及以上)

静态口令

动态口令或其他(证书,U盾等)

验证码(非必须)

图形,数字等

鉴别失败

锁定账户(只是20分钟或由管理员手动解锁)

实名制

绑定唯一身份证或电话号码

二次鉴别

敏感操作(涉及用户隐私或其他敏感信息操作)

其他

界面与数据库的用户列表一致

禁止记住密码

禁止重复标识

禁止匿名账户

角色,权限控制

 

posted @ 2019-06-14 14:31  OnePiece!  阅读(196)  评论(0编辑  收藏  举报