Warning: file_get_contents(/data/phpspider/zhask/data//catemap/9/security/4.json): failed to open stream: No such file or directory in /data/phpspider/zhask/libs/function.php on line 167

Warning: Invalid argument supplied for foreach() in /data/phpspider/zhask/libs/tag.function.php on line 1116

Notice: Undefined index: in /data/phpspider/zhask/libs/function.php on line 180

Warning: array_chunk() expects parameter 1 to be array, null given in /data/phpspider/zhask/libs/function.php on line 181
Security 这是一个有效的漏洞吗?_Security_Authentication - Fatal编程技术网
Fatal编程技术网
  • security/
  • Security 这是一个有效的漏洞吗?

Security 这是一个有效的漏洞吗?

security authentication

Security 这是一个有效的漏洞吗?,security,authentication,Security,Authentication,我刚刚在一个网站上发现了一个安全问题。我不是安全专家,所以我想在向网站报告漏洞之前确认一些要点 该网站使用“电子邮件链接”进行身份验证。为了接收“电子邮件链接”,用户以网站的登录形式输入电子邮件。这将发送以下HTTP请求: POST https://thewebsite.com/login { "email": "john.doe@gmail.com" } 如果用户存在于网站的数据库中,HTTP响应代码为200,否则响应代码为404 这让我想到了以

我刚刚在一个网站上发现了一个安全问题。我不是安全专家,所以我想在向网站报告漏洞之前确认一些要点

该网站使用“电子邮件链接”进行身份验证。为了接收“电子邮件链接”,用户以网站的登录形式输入电子邮件。这将发送以下HTTP请求:

POST https://thewebsite.com/login
{
   "email": "john.doe@gmail.com"
}
如果用户存在于网站的数据库中,HTTP响应代码为200,否则响应代码为404

这让我想到了以下漏洞:

  • 该网站公开提供了检查用户是否存在于其数据库中的可能性,可以强制执行
  • 任何人都可以通过发送以前的POST请求向网站用户发送垃圾邮件
    • 我想听听安全专家的意见,我应该报告这个问题吗?这些类型的攻击是否有一个通用名称?

    是的,这是一个漏洞,我们称之为用户枚举。

    您在这两方面都是正确的。您所说的是不言而喻的,不需要安全专家的确认。感谢您的回复:)那么第一个漏洞是否有一个公共名称?