在登录页面上更改通用暴力破解错误消息。

2020-09-20 20:05发布

点击此处---> 群内免费提供SAP练习系统(在群公告中)加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)嗨, 在5次失败的登录尝试后,...

         点击此处--->   EasySAP.com群内免费提供SAP练习系统(在群公告中)

加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)


嗨,

在5次失败的登录尝试后,OOTB hybris阻止了一个用户帐户,但是在锁定该帐户之后,它仍然显示"您的用户名或密码不正确"。 通用错误消息。 如果我们将此错误消息更改为更具信息性的信息,例如"您的帐户已被锁定。",这是否会引起安全问题,因为暴力攻击者可以从站点中找到有效的用户名,然后将其滥用以进行进一步的安全攻击。

我从链接 https://www.owasp.org/index引用以下声明 .php/Blocking_Brute_Force_Attacks (部分锁定帐户下的第2点)。

•由于您无法锁定不存在的帐户,因此只会锁定有效的帐户名。 攻击者可能会利用此事实从网站中获取用户名,具体取决于错误响应。

我正在使用Hybris 6.6。

2条回答
nice_wp
2020-09-20 20:26

是的。 如果您说出错误消息,说明您的帐户已被锁定。 然后其他人知道该帐户存在并且密码错误。 但是可以根据需要定制这些消息。 OOB不会将消息显示为已锁定。

一周热门 更多>