1. 问题说明

检查移动客户端 APP 是否有限制登录尝试次数,如果没有设置则可能导致攻击者通过爆破、撞库等方式对系统用户密码进行破解。

2. 测试步骤

对 APP 不断进行错误密码尝试,查看 APP 是否有验证码出现或者是否有某种账户锁定策略。

如果输入错误密码后提示还有几次尝试机会,或者输入错误密码后弹出验证码等限制措施,这些都是满足账户锁定策略的。

3. 修复建议

建议在服务端编写账户锁定策略的逻辑,当一天内某个账户多次输入错误密码时根据 IP 进行账号锁定以防止攻击者通过暴力猜解密码。