交易订单的重复提交虽然通常不会直接影响现金流和商品流，但依然会给网站运营方带来损害，如消耗系统资源、影响正常用户订单生成、制造恶意用户发起纠纷的机会等。倘若订单对象是虚拟商品，也有可能造成实际损失。订单重复...

由于很多用户有Web应用防护的需求，但是对安全不是非常了解，购买WAF后没有很好的使用起来。本篇文章为这类用户提供一个详细的引导，让用户在初始化配置或者遇到攻击的情况，能够明白怎么配置可以最大限度降低损失。...

腾讯Web 应用防火墙（Web Application Firewall，WAF）是一款基于 AI 的一站式 Web 业务运营风险防护方案。沉淀了腾讯云安全大数据检测能力和 19 年自营业务 Web 安全防护经验。帮助腾讯云内及云外用户应对 Web 攻击、入侵...

提供下载功能的网站，其下载资源的链接是任何用户都能获取的。如若设计不当，攻击者通过分析链接的文本，能够构造出意外但有效的链接，访问网站功能之外的资源，从而窃取主机上的敏感信息。...

在完成关键业务操作时，要求用户输入图形验证码是防范自动化攻击的一种措施。为安全起见，即使针对同一用户，在重新输入信息时也应该更新图形验证码。iFlow 业务安全加固平台可以加强这方面的处理。...

水平越权是指系统中的用户在未经授权的情况下，查看到另一个同级别用户所拥有的资源。水平越权会导致信息泄露，其产生原因是软件业务设计或编码上的缺陷。iFlow 业务安全加固平台可以缓解部分场景下的水平越权问题。...

大部分具有账号系统的应用都会提供重置用户登录密码的功能，常见方式之一是：用户输入自己的邮箱地址或手机号，应用向这个邮箱或手机号发送验证码，用户将收到的验证码输入应用中即可完成密码重置。这一过程容易因设计不周全...

在任何涉及交易的系统中，客户与商家之间的交易数据具有核心作用，如购买商品的价格、数量、型号和优惠券等。在客户挑选商品的过程中，这些交易数据逐渐形成；待客户提交订单时，交易数据被商家接收，形成双方认可的订单。交易数...

用户登录，几乎是所有 Web 应用所必须的环节。Web 应用通常会加入一些验证手段，以防止攻击者使用机器人自动登录，如要求用户输入图形验证码、拖动滑动条等。但是，如果验证的逻辑仅仅在前端执行，是很容易被攻击者绕过的。iFl...

近年来，信息安全体系建设趋于完善，以注入攻击、跨站攻击等为代表的传统 Web 应用层攻击很大程度上得到了缓解。但是，Web 应用的业务功能日益丰富、在线交易活动愈加频繁，新的安全问题也随之呈现：基于 Web 应用所承载的交易...