0
這是我一直提出的問題:驗證失敗消息
「什麼是有效的憑據登錄到網站時要處理的最佳方式難道我們告訴用戶,如果他們的用戶名無效或同樣地,如果?他們的密碼是無效的?「
我做了一些搜索,但我很難找到一個有一些最佳實踐的網站,以引用它們。
我在這裏的社區問題: 有沒有人在這裏知道一個網站,有一些很好的指導方針/最佳實踐呢?
Q
驗證失敗消息
A
回答
0
關於這個問題我能找到的最權威的討論來自「網絡安全測試手冊」,12.8節。
書中指出:
- 你應該提供一個通用的消息表明是用戶名或密碼不正確;揭示只要用戶名是正確的,攻擊者就可以枚舉有效的用戶名。
- 經過X次嘗試後,賬戶鎖定功能也具有相同的風險;攻擊者可以鎖定帳戶以查明用戶名是否有效。
您可以通過閱讀谷歌圖書在這裏,整個「處方」: http://books.google.com/books?id=VmrSJ3V-s_MC&lpg=PA249&ots=cU7V62FQOA&dq=web%20security%20reveal%20valid%20username&pg=PA248#v=onepage&q=web%20security%20reveal%20valid%20username&f=false
5
只是說他們的憑據是不正確的。
告訴他們一條信息是正確的意味着你正在幫助黑客發現用戶名至少。
如果我輸入:
管理
密碼1
例如,我得到迴應的密碼是無效的現在我知道,有一個名爲「admin」用戶在你的系統上。我現在只需更改密碼即可獲得訪問權限。
如果響應是「無效的用戶名或密碼」,那麼我不知道是否有用戶名爲「admin」。
相關問題
- 1. 豆驗證mutli lang消息失敗
- 2. Html.CheckBoxFor()導致驗證消息消失
- 3. 驗證失敗
- 4. 驗證失敗
- 5. 驗證失敗
- 6. 驗證失敗
- 7. 驗證失敗
- 8. 身份驗證錯誤(身份驗證失敗)使用Saber Soap消息
- 9. 驗證失敗時的消息的JSR驗證API中的本地化支持
- 10. Zend_Mail_Protocol_Exception」有消息‘5.7.0認證失敗’
- 11. omniauth認證/失敗消息= invalid_credentials
- 12. WCF - 如何調試「簽名驗證失敗」消息
- 13. 在KeystoneJS驗證失敗時創建Flash消息
- 14. 導軌不產生驗證失敗的消息
- 15. 如何更改驗證失敗消息的屬性名稱?
- 16. 生成json錯誤消息,如果驗證失敗的filds
- 17. 在laravel中添加一個驗證失敗消息的密鑰
- 18. 如何處理鼠標錯誤消息「ArrayRef'的驗證失敗」?
- 19. spring + saml驗證協議消息簽名失敗
- 20. 當jquery驗證失敗時加載自定義錯誤消息
- 21. 當驗證失敗時添加一般消息
- 22. 註釋表單驗證 - 轉換失敗的自定義消息
- 23. Dojo/Dijit設置無效消息並失敗驗證
- 24. 不顯示驗證角區域失敗的消息
- 25. XSD驗證失敗時的自定義錯誤消息
- 26. Django身份驗證失敗403沒有詳細消息
- 27. 字段驗證失敗時添加全局消息
- 28. 如何停止彈出消息確認驗證是否失敗
- 29. 失敗消息未出現在表單驗證事件中
- 30. 驗證失敗時設計自定義消息
+1有可能不是將深入覆蓋這一點,因爲這是對所有有給它一個站點。 – 2009-11-11 20:35:47
我明白這一點並向他們解釋了這一點。然而,他們要求提供一些「最佳實踐」,我找不到有信譽的來源發佈的任何內容,所以我希望這裏有人可能知道某些事情。 – Sam 2009-11-11 20:59:42
@Sam - 像斯科特我不知道任何涵蓋這個具體的,對不起。是不是堆棧溢出一個有信譽的來源;) – ChrisF 2009-11-11 21:03:45