保护Web服务
细节
遭入侵的服务器可能会拦截用户凭证,或对APP用户发起其他类型的攻击。
建议
一般来说,生产Web服务器必须经过彻底的测试和强化,防止恶意攻击。生产服务器软件应更新到最新版本,并强化,以防止有关服务器软件和接口的信息暴露。
验证表单不应该反馈用户名是否存在。如果攻击者有一种方法来确定有效的用户名,那么它们将具有暴力破解和网络钓鱼攻击的条件。通过向客户端提供“无效用户/密码组合”和“用户名未注册”事件相同的响应来防止用户名被收集。所有登录表单和交换敏感数据的表单/页面都应实施HTTPS。Web服务器不应该允许非SSL的客户端连接用于此类资源。
关闭详细错误,删除任何遗留的不必要的站点或页面,并持续强化Web资源以防潜在的攻击。