Security 这是一个有效的漏洞吗?
我刚刚在一个网站上发现了一个安全问题。我不是安全专家,所以我想在向网站报告漏洞之前确认一些要点 该网站使用“电子邮件链接”进行身份验证。为了接收“电子邮件链接”,用户以网站的登录形式输入电子邮件。这将发送以下HTTP请求:Security 这是一个有效的漏洞吗?,security,authentication,Security,Authentication,我刚刚在一个网站上发现了一个安全问题。我不是安全专家,所以我想在向网站报告漏洞之前确认一些要点 该网站使用“电子邮件链接”进行身份验证。为了接收“电子邮件链接”,用户以网站的登录形式输入电子邮件。这将发送以下HTTP请求: POST https://thewebsite.com/login { "email": "john.doe@gmail.com" } 如果用户存在于网站的数据库中,HTTP响应代码为200,否则响应代码为404 这让我想到了以
POST https://thewebsite.com/login
{
"email": "john.doe@gmail.com"
}
如果用户存在于网站的数据库中,HTTP响应代码为200,否则响应代码为404
这让我想到了以下漏洞:
我想听听安全专家的意见,我应该报告这个问题吗?这些类型的攻击是否有一个通用名称?是的,这是一个漏洞,我们称之为用户枚举。您在这两方面都是正确的。您所说的是不言而喻的,不需要安全专家的确认。感谢您的回复:)那么第一个漏洞是否有一个公共名称?