我在上一篇文章中提到如何评估Web程序的安全性.在Web程序中,以下安全问题需要注意:
1. 上朔式获取管理权限
2. SQL注入式攻击
3. 跨站点脚本执行
4. 密码规则简单
5. 用户名和密码不区分大小写
6. session永不过期或过期时间太长
7. 安全页面的Cache没有没有被禁止
8. Web页面中包括一些可能泄露系统信息的HTML注释
9. 没给用户提供"退出"功能
10. 错误信息暴露系统信息, 没有处理错误信息,没提供定制的错误页面.
11. 密码自动完成功能没被禁止
12. 可以从服务器上得到任何文件, 没过滤文件上传下载范围
13. 没有锁帐号功能,用户可以多次尝试不同的用户名密码登陆
