1.之前的app测试工作一直忽略了安全测试这块,完全靠开发的自觉,今天上线的app被人发现好几个安全问题,趁着这几天有空总结汇总一下。
2.问题;
(1)app后台有个接口是只要传uid就能获取用户全部信息,未作身份验证;
(2)密码未作加密处理,铭文显示;
(3)请求方式基本为get;
(4)部分接口安全测试未做;
(5)app请求权限未验证,容易被当做恶意app;
(6)登录未作次数限制,可能出现暴力破解密码;
(7)同时按下多按钮,按钮同时点击多次,处理不到位(可归于功能问题);
3.解决办法;
加了个token。
