Security 失败的验证消息
有人向我提出了一个问题: “登录站点时,处理有效凭据的最佳方法是什么。我们是否告诉用户用户名是否无效?或者密码是否无效?” 我做了一些搜索,但是我很难找到一个有一些最佳实践的网站,以供参考 我在这里向社会提出的问题是:Security 失败的验证消息,security,Security,有人向我提出了一个问题: “登录站点时,处理有效凭据的最佳方法是什么。我们是否告诉用户用户名是否无效?或者密码是否无效?” 我做了一些搜索,但是我很难找到一个有一些最佳实践的网站,以供参考 我在这里向社会提出的问题是: 这里有没有人知道某个网站对此有一些好的指导方针/最佳做法?只要说他们的凭据不正确就行了 告诉他们一条信息是正确的,意味着你至少在帮助黑客发现用户名 如果我进入: 管理员 密码1 例如,我得到一个密码无效的响应,我现在知道您的系统上有一个名为“admin”的用户。我现在可以更改密码
这里有没有人知道某个网站对此有一些好的指导方针/最佳做法?只要说他们的凭据不正确就行了 告诉他们一条信息是正确的,意味着你至少在帮助黑客发现用户名 如果我进入: 管理员 密码1 例如,我得到一个密码无效的响应,我现在知道您的系统上有一个名为“admin”的用户。我现在可以更改密码以获得访问权限
如果响应是“无效用户名或密码”,那么我不知道是否有名为“admin”的用户。只要说他们的凭据不正确即可 告诉他们一条信息是正确的,意味着你至少在帮助黑客发现用户名 如果我进入: 管理员 密码1 例如,我得到一个密码无效的响应,我现在知道您的系统上有一个名为“admin”的用户。我现在可以更改密码以获得访问权限
如果回答是“无效用户名或密码”,那么我不知道是否有名为“admin”的用户。关于这个问题,我能找到的最权威的讨论来自“Web安全测试食谱”,配方12.8 该书指出:
关于这个问题,我能找到的最权威的讨论来自“Web安全测试食谱”,配方12.8 该书指出:
+1可能没有一个网站会对此进行深入的报道,因为这就是它的全部内容。我理解这一点,并向他们解释了这一点。然而,他们要求提供一些“最佳实践”,而我找不到任何由知名人士发布的东西,所以我希望这里的人可能知道一些事情。@Sam-像Scott一样,我不知道有哪一个地方专门涉及到这一点,抱歉。堆栈溢出不是一个可靠的来源吗;)@克里斯夫。。。。我不知道我们支付了很多钱的客户是否想在这里“去看看Stackoverflow上的评论”:@Sam-我能理解;)+1可能没有一个网站会深入报道这一点,因为这就是它的全部内容。我理解这一点,并向他们解释了这一点。然而,他们要求提供一些“最佳实践”,而我找不到任何由知名人士发布的东西,所以我希望这里的人可能知道一些事情。@Sam-像Scott一样,我不知道有哪一个地方专门涉及到这一点,抱歉。堆栈溢出不是一个可靠的来源吗;)@克里斯夫。。。。我不知道我们支付了很多钱的客户是否想在这里“去看看Stackoverflow上的评论”:@Sam-我能理解;)