登录和忘记密码逻辑中的坑-不要回显账号不存在
登录功能每个系统都有,而且是必不可少的兵家必争之地,无论是开发还是用户甚至是黑客都会首先瞄准这块阵地,关于登录的逻辑网络上讨论的已经很多了,但有一个坑是新手比较容易遗忘的,那就是在登陆或者忘记密码的功能中,返回的消息会透露账号不存在的情况。
某系统运行缓慢引发的思考
某系统接到客户反馈,运行缓慢,但系统的用户量并不大,这就很费解了,经过查询系统访问日志发现,访问量最大的竟然是「忘记密码」功能接口!这就很不正常了,肯定是被人利用了。
正常的登陆接口会返回“账号或密码错误”,也就是分不清是账号错了还是密码错了,但是,忘记密码的接口返回就不一样了。
忘记密码功能会先要求输入账户,然后下一步输入验证码来重置密码,而第一步失败就会返回账户不存在!
提示账号不存在的坑
那么提示账号不存在会有什么坑等着你呢?首先,如果不提示账号不存在,只提示账号或密码错误,那么撞库的这个人有两个变量需要猜解,既要去猜账号又需要猜密码,可以成功被撞库撞出来的几率几乎为零。
那如果有个地方可以让黑客知道账户是否存在,那变量就小一半了,如果账号不存在就不用猜解密码了,所以判断账户是否存在是他的第一步,也就导致「忘记密码」功能被大量调用。
解决办法
首先,无论是「登录」还是「忘记密码」、「忘记账号」的逻辑中都不应该返回账号不存在的错误信息,你可以返回类似「如果账号存在,你将在你的邮箱中收到一封邮件验证码」这样的话,这样黑客就无法利用这个逻辑漏洞来探测账户是否存在了。
其次,如果改逻辑很麻烦,那也可以在页面上加入一些复杂的验证码,防止机器人程序调用接口,虽然网上有识别破解的方法,但难度增加以后会让大部分黑客放弃这个做法,只要能达到让黑客放弃的程度就可以了。
商业用途请联系作者获得授权。
版权声明:本文为博主「任霏」原创文章,遵循 CC BY-NC-SA 4.0 版权协议,转载请附上原文出处链接及本声明。
相关推荐
猜你还喜欢这些内容,不妨试试阅读一下评论与留言
以下内容均由网友提交发布,版权与真实性无法查证,请自行辨别。微信订阅号
扫码关注「任霏博客」微信订阅号- 你写得非常清晰明了,让我很容易理解你的观点。
- 感谢分享!拿走了~
- 您是说 UCClient 类接收来自Discuz的UCenter的消息吧,请求是来自 Discuz 的 UCenter吗?code 为 null 说明请求URL地址中没有 code 参数 (?code=xxx) ,确定是 UCenter 发起的请求吗?
- String code = request.getParameter("code"); code一直是null 这是为什么啊
- 你好,我想问一下如果是分析型的数据库要怎么制作docker镜像呢 是修改V008R003C002B0320版本号吗
- 可以的,我也正在开发分享的程序,可以邮件或群联系我都可以,关于页面里有联系方式:https://www.renfei.net/page/about 。
- 有破解软件的需要可以私下联系您吗?
- 您好,手机APP只是个客户端,用于数据呈现展示,数据均保存在服务器上,只留个APP没有任何用处,无能为力哦。
- 老哥 看你弄了这么多软件好厉害啊。 我有个软件 我买过几个小会员 没用几天 然后商家跑路了,软件服务器关闭了,连不上去 用不了。 你能做成一个打补丁版本可以本地用的么? 方便看下么?https://haodezhe.lanzouw.com/iD0f30h9joza 谢谢老哥!
- 您好,由于版权投诉和我国知识产权法的完善,我已经下架所有破解软件的下载链接了。
- 生花妙笔信手来 – 基于 Amazon SageMaker 使用 Grounded-SAM 加速电商广告素材生成 [1]
- github.renfei.net 不再完整代理 Github 页面改为代理指定文件
- 优雅的源代码管理(三):本地优雅的使用 Git Rebase 变基
- 优雅的源代码管理(二):Git 的工作原理
- 优雅的源代码管理(一):版本控制系统 VCS(Version Control System)与软件配置管理 SCM(Software Configuration Management)
- ChatGPT 开发商 OpenAI 买下极品域名 AI.com
- 火爆的 AI 人工智能 ChatGPT 国内注册教程、使用方式和收费标准
- 解决 SpringCloud 中 bootstrap.yml 不识别 @activatedProperties@ 参数
- Cron表达式书写教程搞定Linux、Spring、Quartz的定时任务
- 阿里云香港可用区C发生史诗级故障