Sam*_*Sam 0 security
这是我提出的问题:
"登录网站时处理有效凭据的最佳方式是什么.我们是否告诉用户他们的用户名是否无效?或者如果他们的密码无效,我们是否也这样做?"
我做了一些搜索,但是我很难找到一个带有一些最佳实践的网站来引用它们.
我在这里对社区的问题:这里有没有人知道一个网站有一些很好的指导方针/最佳做法?
Chr*_*isF 5
只是说他们的凭据不正确.
告诉他们一条信息是正确的意味着你至少要帮助黑客发现用户名.
如果我输入:
管理 密码1
管理
密码1
例如,我得到一个密码无效的响应我现在知道你的系统上有一个名为"admin"的用户.我现在可以改变密码以获取访问权限.
如果回复是"无效的用户名或密码",那么我对于是否有名为"admin"的用户并不明智.
归档时间:
16 年,3 月 前
查看次数:
64 次
最近记录: