登录和忘记密码逻辑中的坑-不要回显账号不存在

登录功能每个系统都有,而且是必不可少的兵家必争之地,无论是开发还是用户甚至是黑客都会首先瞄准这块阵地,关于登录的逻辑网络上讨论的已经很多了,但有一个坑是新手比较容易遗忘的,那就是在登陆或者忘记密码的功能中,返回的消息会透露账号不存在的情况。

某系统运行缓慢引发的思考

某系统接到客户反馈,运行缓慢,但系统的用户量并不大,这就很费解了,经过查询系统访问日志发现,访问量最大的竟然是「忘记密码」功能接口!这就很不正常了,肯定是被人利用了。

正常的登陆接口会返回“账号或密码错误”,也就是分不清是账号错了还是密码错了,但是,忘记密码的接口返回就不一样了。

忘记密码功能会先要求输入账户,然后下一步输入验证码来重置密码,而第一步失败就会返回账户不存在!

提示账号不存在的坑

那么提示账号不存在会有什么坑等着你呢?首先,如果不提示账号不存在,只提示账号或密码错误,那么撞库的这个人有两个变量需要猜解,既要去猜账号又需要猜密码,可以成功被撞库撞出来的几率几乎为零。

那如果有个地方可以让黑客知道账户是否存在,那变量就小一半了,如果账号不存在就不用猜解密码了,所以判断账户是否存在是他的第一步,也就导致「忘记密码」功能被大量调用。

解决办法

首先,无论是「登录」还是「忘记密码」、「忘记账号」的逻辑中都不应该返回账号不存在的错误信息,你可以返回类似「如果账号存在,你将在你的邮箱中收到一封邮件验证码」这样的话,这样黑客就无法利用这个逻辑漏洞来探测账户是否存在了。

其次,如果改逻辑很麻烦,那也可以在页面上加入一些复杂的验证码,防止机器人程序调用接口,虽然网上有识别破解的方法,但难度增加以后会让大部分黑客放弃这个做法,只要能达到让黑客放弃的程度就可以了。

分享此页面

Comments