0
这是我一直提出的问题:验证失败消息
“什么是有效的凭据登录到网站时要处理的最佳方式难道我们告诉用户,如果他们的用户名无效或同样地,如果?他们的密码是无效的?“
我做了一些搜索,但我很难找到一个有一些最佳实践的网站,以引用它们。
我在这里的社区问题: 有没有人在这里知道一个网站,有一些很好的指导方针/最佳实践呢?
Q
验证失败消息
A
回答
0
关于这个问题我能找到的最权威的讨论来自“网络安全测试手册”,12.8节。
书中指出:
- 你应该提供一个通用的消息表明是用户名或密码不正确;揭示只要用户名是正确的,攻击者就可以枚举有效的用户名。
- 经过X次尝试后,账户锁定功能也具有相同的风险;攻击者可以锁定帐户以查明用户名是否有效。
您可以通过阅读谷歌图书在这里,整个“处方”: http://books.google.com/books?id=VmrSJ3V-s_MC&lpg=PA249&ots=cU7V62FQOA&dq=web%20security%20reveal%20valid%20username&pg=PA248#v=onepage&q=web%20security%20reveal%20valid%20username&f=false
5
只是说他们的凭据是不正确的。
告诉他们一条信息是正确的意味着你正在帮助黑客发现用户名至少。
如果我输入:
管理
密码1
例如,我得到回应的密码是无效的现在我知道,有一个名为“admin”用户在你的系统上。我现在只需更改密码即可获得访问权限。
如果响应是“无效的用户名或密码”,那么我不知道是否有用户名为“admin”。
相关问题
- 1. 豆验证mutli lang消息失败
- 2. 验证失败
- 3. 验证失败
- 4. 验证失败
- 5. 验证失败时的消息的JSR验证API中的本地化支持
- 6. omniauth认证/失败消息= invalid_credentials
- 7. 失败消息未出现在表单验证事件中
- 8. 验证失败时设计自定义消息
- 9. spring + saml验证协议消息签名失败
- 10. 导轨不产生验证失败的消息
- 11. 在laravel中添加一个验证失败消息的密钥
- 12. 字段验证失败时添加全局消息
- 13. BizTalk消息失败架构验证,但过程就好
- 14. 当jquery验证失败时加载自定义错误消息
- 15. 验证消息
- 16. XML验证失败
- 17. 域验证失败
- 18. 验证SignUp失败
- 19. Django验证失败
- 20. “验证失败”(com.jcraft.jsch.JSchException)
- 21. jsonwebtoken验证失败
- 22. PHP验证失败
- 23. html验证失败
- 24. Hystrix:HystrixBadRequestException失败验证
- 25. XSD验证失败
- 26. XML验证失败
- 27. 验证失败:“EntityRef:expecting';'”
- 28. Xcode验证失败
- 29. 验证失败2
- 30. PHP验证失败
+1有可能不是将深入覆盖这一点,因为这是对所有有给它一个站点。 – 2009-11-11 20:35:47
我明白这一点并向他们解释了这一点。然而,他们要求提供一些“最佳实践”,我找不到有信誉的来源发布的任何内容,所以我希望这里有人可能知道某些事情。 – Sam 2009-11-11 20:59:42
@Sam - 像斯科特我不知道任何涵盖这个具体的,对不起。是不是堆栈溢出一个有信誉的来源;) – ChrisF 2009-11-11 21:03:45