一些漏洞
1.密码太简单
2.登录失败时系统给出具体的出错信息,帮助黑客选取针对性的攻击措施
3.把用户名/密码丢进了Cookie,然后该Cookie被其他用户获得 (比如:“一周内不必登录”)
4.用户回答“忘记密码”相关问题后,系统没有发一封重置密码的邮件,而是直接把密码显示出来,或者让用户验证通过,去执行敏感的操作
5.服务器端代码逻辑有问题。比如在发生数据库异常后继续让用户成功登录
6.多阶段登录的漏洞:服务器代码错误地假定用户已经通过了上一阶段