Question

（1）在密码找回功能设计时对用户凭证的验证次数和频率进行限制，防止攻击者对

用户凭证的暴力枚举攻击。

（2）对密码找回的各个环节进行梳理，记录分析所有交互数据，避免密码找回凭证

等敏感信息直接返回给客户端。

（3）对服务端密码重置 Token 的生成算法进行审计，避免使用容易被攻击者破解的

简单算法。

（4）密码重置凭证应与账户严格绑定，并设置有效时间，避免攻击者通过修改账户

ID 的方式重置他人密码。

（5）对客户端传入的数据要进行严格的校验，手机号、邮箱地址等重要信息应和后

台数据库中已存储的信息进行核对，不应从客户端传入的参数中直接取用。避免攻击者通

过篡改传入数据的方式重置他人密码。

（6）对用户注册、手机邮箱绑定等业务逻辑进行审计，避免攻击者通过用户重复注

册和越权绑定等漏洞间接重置他人密码。