Projekthintergrund:
SpringMVC Mybatis MySql-Datenbank (JavaWeb-Projektentwicklung)
Verwandte Module: Anmeldung, Änderung persönlicher Daten, Abfrage von Bestelldetails
Einführung in verwandte Sicherheitslücken:
1. Login-Verifizierungscode: Der Login-Verifizierungscode muss im Hintergrund verifiziert werden. Wenn der Verifizierungscode nur an der Rezeption, aber nicht im Hintergrund verifiziert wird, kann es nach der Verifizierung des Verifizierungscodes passieren Beim ersten Mal umgeht das Tool das Brute-Force-Cracking durch den Bestätigungscode Wenn der Benutzer nicht angemeldet ist, wird automatisch zur Anmeldeseite gesprungen. 3. Änderung persönlicher Daten: Die Informationen des Benutzers sollten in der Sitzung gespeichert werden, z. B. die Benutzer-ID, wenn dies der Fall ist ist eine passwortfreie Schnittstelle (d. h. zum Ändern der Informationen ist kein Passwort erforderlich). Achten Sie beim Ändern der Kontoinformationen darauf, die Benutzer-ID nicht direkt als eindeutige Kennung zu übergeben. Wenn Sie die Schlüsselinformationen des Benutzers verwenden, können Sie diese abrufen die Informationen des aktuell angemeldeten Benutzers aus der Sitzung, um zu verhindern, dass der Benutzer mit dem Konto 3000001 diese nach der Anmeldung ändert. Persönliche Informationen des Benutzers mit dem Konto 3000002
4. Schnittstelle für Bestelldetails: Wenn Sie fragen die Bestelldetails des Benutzers ab und fragen nur über die Bestell-ID ab. Auch wenn der Schnittstellenname mit /user hinzugefügt wird, werden nicht angemeldete Benutzer abgefangen. Es kann auch vorkommen, dass andere Benutzer die Bestelldetails anders als abfragen können nach dem Einloggen ihre eigenen. In diesem Fall müssen Sie vor der Abfrage der Bestelldetails überprüfen, ob es sich bei der Bestellung um die persönliche Bestellung des aktuell angemeldeten Benutzers handelt, d. h., ob die ID in der Sitzung mit der ID des Erstellers der Bestellung übereinstimmt Informationslecks verhindern;
(Anmerkungen: Die oben genannte Sicherheitslücke ist tatsächlich aufgetreten. Ich poste sie in der Hoffnung, dass andere Neulinge daraus lernen und auch mit mehr Menschen über die während der Entwicklung aufgetretenen Probleme kommunizieren können)
was bedeutet PM
So rufen Sie das BIOS auf dem Thinkpad auf
So verwenden Sie den ffdshow-Decoder
Wo kann ich das Douyin Little Fire Man-Kostüm bekommen?
Windows kann die Formatierung der Festplatte nicht abschließen
Welche Plattform ist besser für den Handel mit virtuellen Währungen?
Gründe, warum der Touchscreen eines Mobiltelefons ausfällt
Bitcoin-Austausch
![[Web-Frontend] Node.js-Schnellstart](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
