其他资讯
AI提示词
需求转开发
需求转开发任务:提示词驱动AI检查项生成
摘要
手机号验证码登录:有效期≤5分钟,6位数字,连续失败5次锁定;密码用bcrypt加密,成本因
| 任务编号 | 开发任务 | 必检项 | 检查方式 | 风险等级 |
|----------|----------|--------|----------|----------|
| 1 | 实现手机号+信息验证码登录 | 验证码有效期≤5分钟(OWASP ASVS 2.6.1)
验证码长度固定为6位数字,生成使用安全随机数(如python secrets模块)
单手机号连续失败尝试≥5次后触发锁定(OWASP ASVS I5.1),锁定时长≥1小时 | 单元测试模拟验证码过期场景
单元测试检查验证码长度与随机性
集成测试模拟连续失败后锁定 | 高 | | 2 | 实施密码可选设置的加密存储 | 密码使用bcrypt v2a算法,实现使用passlib 1.8.0+库
bcrypt成本因子≥10(OWASP ASVS 2.1.3)
密码哈希始终不与明文密码同时存储或记录(PCI DSS 8.2.3) | 代码审查确认使用的算法、库版本和成本因子
单元测试验证哈希输出长度和格式
集成测试检查日志和数据库不包含明文密码 | 高 | | 3 | 防止暴力破解与账户锁定机制 | 单账户登录失败≥5次后触发锁定,锁定持续时间≥1小时(OWASP ASVS I5.1)
锁定期间拒绝该账户所有登录请求,仅允许管理员手动解锁或等待时间到期
速率限制:每IP每分钟≤3次登录尝试(PCI DSS 8.5.1) | 集成测试模拟连续失败并验证锁定时长
代码审查检查锁定解除逻辑
渗透测试验证速率限制是否生效 | 高 |
验证码长度固定为6位数字,生成使用安全随机数(如python secrets模块)
单手机号连续失败尝试≥5次后触发锁定(OWASP ASVS I5.1),锁定时长≥1小时 | 单元测试模拟验证码过期场景
单元测试检查验证码长度与随机性
集成测试模拟连续失败后锁定 | 高 | | 2 | 实施密码可选设置的加密存储 | 密码使用bcrypt v2a算法,实现使用passlib 1.8.0+库
bcrypt成本因子≥10(OWASP ASVS 2.1.3)
密码哈希始终不与明文密码同时存储或记录(PCI DSS 8.2.3) | 代码审查确认使用的算法、库版本和成本因子
单元测试验证哈希输出长度和格式
集成测试检查日志和数据库不包含明文密码 | 高 | | 3 | 防止暴力破解与账户锁定机制 | 单账户登录失败≥5次后触发锁定,锁定持续时间≥1小时(OWASP ASVS I5.1)
锁定期间拒绝该账户所有登录请求,仅允许管理员手动解锁或等待时间到期
速率限制:每IP每分钟≤3次登录尝试(PCI DSS 8.5.1) | 集成测试模拟连续失败并验证锁定时长
代码审查检查锁定解除逻辑
渗透测试验证速率限制是否生效 | 高 |
来源:互联网
免责声明
本网站新闻资讯均来自公开渠道,力求准确但不保证绝对无误,内容观点仅代表作者本人,与本站无关。若涉及侵权,请联系我们处理。本站保留对声明的修改权,最终解释权归本站所有。
