几个安全测试的小问题

最近遇到的几个安全问题，可以面试的时候作为面试经验

1.短信验证码复用：同一验证码可多次使用

解决方案：限制验证码只能使用一次

2.越权漏洞：低权限账户可通过修改数据包获得同等级其他账户或高级权限账户数据

解决方案：对所有接口进行权限控制，不能根据前端、post数据中的useried，ivrUserId或cookie中的明文西段等进行判断，根据token字段判断用户是否有对应资源的访问权限；对所有接口结合代码检查，对同级账户和高低等级账户之间进行权限。

3.登录可爆破：由于登录处没有使用验证码，没有密码错误最大次数限制导致登录可爆破（暴力破解）

解决方法：登录加入图形验证码，每次登录都需要一次新验证码，并且一次失效