假设我有一个具有用户注册过程的站点,当用户输入已在使用的电子邮件地址时,会显示一条错误消息告诉他们。这似乎是恶意用户枚举用户的一种简单方法。
在注册过程中添加 CAPTCHA 是否足以防止用户枚举?
验证码足以阻止用户枚举?
信息安全
Web应用程序
用户枚举
用户名
2021-08-23 05:17:07
1个回答
是的! 为了使帐户注册表单中的用户枚举完全有用,攻击者必须进行数千次自动猜测。这个漏洞与错误信息无关,事实上即使你删除了错误信息,你仍然不能让两个用户占用相同的用户名。仅通过这种一般故障,攻击者就可以确定用户名正在使用中。
其它你可能感兴趣的问题