高校数字校园平台密码重置漏洞分析及防护

摘要

随着信息技术的快速发展,Web服务成为互联网产业的重要载体,各大高校的数字校园平台通过统一身份认证系统将校内各种B/S应用系统集成在一起,这在方便师生的同时也产生了不少信息安全问题.数字校园平台的信息安全问题主要包含了SQL注入漏洞、Struts2漏洞、密码重置漏洞和文件上传漏洞等.本文主要研究属于业务逻辑范畴的密码重置漏洞,它通常发生在验证找回及校验阶段.通过实际的案例,分析了高校数字校园平台中存在的密码重置漏洞类型和产生原因,同时针对不同原因给出具体的建议及解决方案.数字校园平台作为校内应用系统的统一入口，应加强WEB安全防护，完善用户身份验证的代码逻辑缺陷。建议验证码在组合、位数和背景等方面都应该增大复杂度，避免简单验证码被机器轻易识别带来的安全隐患。