点击此处---> 群内免费提供SAP练习系统(在群公告中)
加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)
嗨,
在5次失败的登录尝试后,OOTB hybris阻止了一个用户帐户,但是在锁定该帐户之后,它仍然显示"您的用户名或密码不正确"。 通用错误消息。 如果我们将此错误消息更改为更具信息性的信息,例如"您的帐户已被锁定。",这是否会引起安全问题,因为暴力攻击者可以从站点中找到有效的用户名,然后将其滥用以进行进一步的安全攻击。 >
我从链接 https://www.owasp.org/index引用以下声明 .php/Blocking_Brute_Force_Attacks (部分锁定帐户下的第2点)。
•由于您无法锁定不存在的帐户,因此只会锁定有效的帐户名。 攻击者可能会利用此事实从网站中获取用户名,具体取决于错误响应。
我正在使用Hybris 6.6。
是的。 如果您说出错误消息,说明您的帐户已被锁定。 然后其他人知道该帐户存在并且密码错误。 但是可以根据需要定制这些消息。 OOB不会将消息显示为已锁定。
是否鼓励进行自定义? 还是在安全性和更好的用户体验之间进行权衡?
一周热门 更多>