Fatal编程技术网
  • security/
  • Security 失败的验证消息

Security 失败的验证消息

security

Security 失败的验证消息,security,Security,有人向我提出了一个问题: “登录站点时,处理有效凭据的最佳方法是什么。我们是否告诉用户用户名是否无效?或者密码是否无效?” 我做了一些搜索,但是我很难找到一个有一些最佳实践的网站,以供参考 我在这里向社会提出的问题是: 这里有没有人知道某个网站对此有一些好的指导方针/最佳做法?只要说他们的凭据不正确就行了 告诉他们一条信息是正确的,意味着你至少在帮助黑客发现用户名 如果我进入: 管理员 密码1 例如,我得到一个密码无效的响应,我现在知道您的系统上有一个名为“admin”的用户。我现在可以更改密码

有人向我提出了一个问题:

“登录站点时,处理有效凭据的最佳方法是什么。我们是否告诉用户用户名是否无效?或者密码是否无效?”

我做了一些搜索,但是我很难找到一个有一些最佳实践的网站,以供参考

我在这里向社会提出的问题是:
这里有没有人知道某个网站对此有一些好的指导方针/最佳做法?

只要说他们的凭据不正确就行了

告诉他们一条信息是正确的,意味着你至少在帮助黑客发现用户名

如果我进入:

管理员

密码1

例如,我得到一个密码无效的响应,我现在知道您的系统上有一个名为“admin”的用户。我现在可以更改密码以获得访问权限

如果响应是“无效用户名或密码”,那么我不知道是否有名为“admin”的用户。

只要说他们的凭据不正确即可

告诉他们一条信息是正确的,意味着你至少在帮助黑客发现用户名

如果我进入:

管理员

密码1

例如,我得到一个密码无效的响应,我现在知道您的系统上有一个名为“admin”的用户。我现在可以更改密码以获得访问权限

如果回答是“无效用户名或密码”,那么我不知道是否有名为“admin”的用户。

关于这个问题,我能找到的最权威的讨论来自“Web安全测试食谱”,配方12.8

该书指出:

  • 您应该提供一条通用消息,指出用户名或密码不正确;仅显示用户名是正确的允许攻击者枚举有效用户名
  • 账户锁定功能在尝试X次后也会带来同样的风险;攻击者可以锁定帐户以查明用户名是否有效
    • 你可以在这里通过谷歌图书阅读整个“食谱”:

    关于这个问题,我能找到的最权威的讨论来自“Web安全测试食谱”,配方12.8

    该书指出:

  • 您应该提供一条通用消息,指出用户名或密码不正确;仅显示用户名是正确的允许攻击者枚举有效用户名
  • 账户锁定功能在尝试X次后也会带来同样的风险;攻击者可以锁定帐户以查明用户名是否有效
    • 你可以在这里通过谷歌图书阅读整个“食谱”:

    +1可能没有一个网站会对此进行深入的报道,因为这就是它的全部内容。我理解这一点,并向他们解释了这一点。然而,他们要求提供一些“最佳实践”,而我找不到任何由知名人士发布的东西,所以我希望这里的人可能知道一些事情。@Sam-像Scott一样,我不知道有哪一个地方专门涉及到这一点,抱歉。堆栈溢出不是一个可靠的来源吗;)@克里斯夫。。。。我不知道我们支付了很多钱的客户是否想在这里“去看看Stackoverflow上的评论”:@Sam-我能理解;)+1可能没有一个网站会深入报道这一点,因为这就是它的全部内容。我理解这一点,并向他们解释了这一点。然而,他们要求提供一些“最佳实践”,而我找不到任何由知名人士发布的东西,所以我希望这里的人可能知道一些事情。@Sam-像Scott一样,我不知道有哪一个地方专门涉及到这一点,抱歉。堆栈溢出不是一个可靠的来源吗;)@克里斯夫。。。。我不知道我们支付了很多钱的客户是否想在这里“去看看Stackoverflow上的评论”:@Sam-我能理解;)