构建完善的敏感操作验证流程
凤凰 (凤凰涅磐,浴火重生) | 2012-11-05 16:22
1、定义敏感操作
2、将敏感操作进行等级划分
确定一个标准,对敏感操作进行重要性划分。
如可以通过安全邮箱修改账号密码,那么修改安全邮箱即可获取账号控制权,则应被列为最高级。
而如果修改账号密码需要验证安全邮箱和密保,那么修改安全邮箱则应被视为次一级的敏感操作。
3、特定等级的敏感操作至少需要通过同级或更高级的敏感操作验证。
如修改安全邮箱,其敏感等级为最高级或次一级,故在修改时,需要验证原邮箱所有权,或者可以通过手机验证码验证。
以上仅为初步想法,各位多拍砖哈~
文章来源于lcx.cc:构建完善的敏感操作验证流程
相关推荐: XSS解决方案系列之二:知其所以然—浏览器是如是解码的
说明: 1. 本ID所有文章皆为原创,写文章时没有参考任何文档,推荐参考的link是网络搜索的,不涉及版权。 2. 此文是纯技术文章,如果不幸遇冷,本ID将无限孤独。 3. 技术是没有司界的,能帮助你是我的快乐,如果不想偷着乐,可以站出来乐一下。 4. 理解了…
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论