登录和忘记密码逻辑中的坑-不要回显账号不存在
2020年06月08日 20:08:53 · 本文共 649 字阅读时间约 2分钟 · 2,939 次浏览登录功能每个系统都有,而且是必不可少的兵家必争之地,无论是开发还是用户甚至是黑客都会首先瞄准这块阵地,关于登录的逻辑网络上讨论的已经很多了,但有一个坑是新手比较容易遗忘的,那就是在登陆或者忘记密码的功能中,返回的消息会透露账号不存在的情况。
某系统运行缓慢引发的思考
某系统接到客户反馈,运行缓慢,但系统的用户量并不大,这就很费解了,经过查询系统访问日志发现,访问量最大的竟然是「忘记密码」功能接口!这就很不正常了,肯定是被人利用了。
正常的登陆接口会返回“账号或密码错误”,也就是分不清是账号错了还是密码错了,但是,忘记密码的接口返回就不一样了。
忘记密码功能会先要求输入账户,然后下一步输入验证码来重置密码,而第一步失败就会返回账户不存在!
提示账号不存在的坑
那么提示账号不存在会有什么坑等着你呢?首先,如果不提示账号不存在,只提示账号或密码错误,那么撞库的这个人有两个变量需要猜解,既要去猜账号又需要猜密码,可以成功被撞库撞出来的几率几乎为零。
那如果有个地方可以让黑客知道账户是否存在,那变量就小一半了,如果账号不存在就不用猜解密码了,所以判断账户是否存在是他的第一步,也就导致「忘记密码」功能被大量调用。
解决办法
首先,无论是「登录」还是「忘记密码」、「忘记账号」的逻辑中都不应该返回账号不存在的错误信息,你可以返回类似「如果账号存在,你将在你的邮箱中收到一封邮件验证码」这样的话,这样黑客就无法利用这个逻辑漏洞来探测账户是否存在了。
其次,如果改逻辑很麻烦,那也可以在页面上加入一些复杂的验证码,防止机器人程序调用接口,虽然网上有识别破解的方法,但难度增加以后会让大部分黑客放弃这个做法,只要能达到让黑客放弃的程度就可以了。
商业用途请联系作者获得授权。
版权声明:本文为博主「任霏」原创文章,遵循 CC BY-NC-SA 4.0 版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.renfei.net/posts/1003383
版权声明:本文为博主「任霏」原创文章,遵循 CC BY-NC-SA 4.0 版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.renfei.net/posts/1003383
相关推荐
猜你还喜欢这些内容,不妨试试阅读一下
评论与留言
以下内容均由网友提交发布,版权与真实性无法查证,请自行辨别。
热评文章
- 前后端分离项目接口数据加密的秘钥交换逻辑(RSA、AES)
- OmniGraffle 激活/破解 密钥/密匙/Key/License
- CleanMyMac X 破解版 [TNT] 4.6.0
- OmniPlan 激活/破解 密钥/密匙/Key/License
- 人大金仓 KingbaseES V8 R3 安装包、驱动包和 License 下载地址
- Parallels Desktop For Mac 16.0.1.48911 破解版 [TNT]
- Redis 未授权访问漏洞分析 cleanfda 脚本复现漏洞挖矿
- Parallels Desktop For Mac 15.1.4.47270 破解版 [TNT]
- Sound Control 破解版 2.4.2
- 向谷歌搜索引擎主动推送网页的教程 Google Indexing API 接口实现
热文排行
- 博客完全迁移上阿里云,我所使用的阿里云架构
- 微软确认Windows 10存在bug 部分电脑升级后被冻结
- 大佬们在说的AQS,到底啥是个AQS(AbstractQueuedSynchronizer)同步队列
- 比特币(BTC)钱包客户端区块链数据同步慢,区块链数据离线下载
- Java中说的CAS(compare and swap)是个啥
- 小心免费主题!那些WordPress主题后门,一招拥有管理员权限
- 强烈谴责[wamae.win]恶意反向代理我站并篡改我站网页
- 讨论下Java中的volatile和JMM(Java Memory Model)Java内存模型
- 新版个人网站 NEILREN4J 上线并开源程序源码
- 我站近期遭受到恶意不友好访问攻击公告