这篇文章上次修改于 854 天前,可能其部分内容已经发生变化,如有疑问可询问作者。 [TOC] # 漏洞清单含(漏洞危害及修复建议) ## WEB ### 逻辑漏洞 #### 验证码缺陷 出现场景: 漏洞危害: 修复建议: #### 验证码绕过 出现场景: 漏洞危害: 修复建议: #### 业务流程跳跃 出现场景: 漏洞危害: 修复建议: #### 水平越权 出现场景: 漏洞危害: 修复建议: #### 垂直越权 出现场景: 漏洞危害: 修复建议: #### 前端验证 出现场景: 漏洞危害: 修复建议: #### 未授权访问 出现场景: 漏洞危害: 修复建议: #### 单点登录缺陷 ### 代码注入 #### 反射型XSS 出现场景: 漏洞危害: 修复建议: #### 存储型XSS 出现场景: 漏洞危害: 修复建议: #### SQL注入 出现场景: 漏洞危害: 修复建议: #### 远程代码注入 出现场景: 漏洞危害: 修复建议: #### 反序列化 出现场景: 漏洞危害: 修复建议: ### 命令注入 ### 安全配置 #### 弱口令 出现场景: 漏洞危害: 修复建议: ### 其他问题 #### 铭感信息泄露(文本信息) 出现场景: 漏洞危害: 修复建议: #### 代码泄露(备份文件) 出现场景: 漏洞危害: 修复建议: #### 登录提示未模糊化 #### 铭感信息未脱敏 ### 真实案例 ##### 验证码功能失效 出现场景:用户任意输入非正确的验证码,亦可登录系统。 漏洞危害: 修复建议:后端对前端用户输入验证的正确性进行严格校验。 ##### 前端验证码绕过 出现场景:改返回包的返回值为验证码正确的情况,直接进入下一个业务流程。 漏洞危害: 修复建议:最后一步需带上验证码再次校验,或者整个业务流程都需要带上验证码校验。 ##### 验证码未失效 出现场景:验证码可以多次使用,未失效。 漏洞危害: 修复建议:验证码发送至后端校验,无论成功与否都要使其失效。但是也有特例,比如这个验证码在稍后的流程还要使用的话就不用失效,在最后一个校验结束后马上失效。 ##### 前端铭感信息泄露 出现场景:前端html或者js代码中含有铭感账号密码信息或者其它的铭感信息。 漏洞危害: 修复建议:将前端的铭感信息删除或者进行脱敏处理,在前端处理的代码逻辑需要用到铭感信息可以放在后端实现。 ## Android Q ## IOS