构建完善的敏感操作验证流程
凤凰 (凤凰涅磐,浴火重生) | 2012-11-05 16:22
1、定义敏感操作
2、将敏感操作进行等级划分
确定一个标准,对敏感操作进行重要性划分。
如可以通过安全邮箱修改账号密码,那么修改安全邮箱即可获取账号控制权,则应被列为最高级。
而如果修改账号密码需要验证安全邮箱和密保,那么修改安全邮箱则应被视为次一级的敏感操作。
3、特定等级的敏感操作至少需要通过同级或更高级的敏感操作验证。
如修改安全邮箱,其敏感等级为最高级或次一级,故在修改时,需要验证原邮箱所有权,或者可以通过手机验证码验证。
以上仅为初步想法,各位多拍砖哈~
文章来源于lcx.cc:构建完善的敏感操作验证流程
相关推荐: XSS解决方案系列之二:知其所以然—浏览器是如是解码的
说明: 1. 本ID所有文章皆为原创,写文章时没有参考任何文档,推荐参考的link是网络搜索的,不涉及版权。 2. 此文是纯技术文章,如果不幸遇冷,本ID将无限孤独。 3. 技术是没有司界的,能帮助你是我的快乐,如果不想偷着乐,可以站出来乐一下。 4. 理解了…
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论