在登录页面上更改通用暴力破解错误消息。

2020-09-20 20:05发布

         点击此处--->   EasySAP.com群内免费提供SAP练习系统(在群公告中)

加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)


嗨,

在5次失败的登录尝试后,OOTB hybris阻止了一个用户帐户,但是在锁定该帐户之后,它仍然显示"您的用户名或密码不正确"。 通用错误消息。 如果我们将此错误消息更改为更具信息性的信息,例如"您的帐户已被锁定。",这是否会引起安全问题,因为暴力攻击者可以从站点中找到有效的用户名,然后将其滥用以进行进一步的安全攻击。

我从链接 https://www.owasp.org/index引用以下声明 .php/Blocking_Brute_Force_Attacks (部分锁定帐户下的第2点)。

•由于您无法锁定不存在的帐户,因此只会锁定有效的帐户名。 攻击者可能会利用此事实从网站中获取用户名,具体取决于错误响应。

我正在使用Hybris 6.6。

         点击此处--->   EasySAP.com群内免费提供SAP练习系统(在群公告中)

加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)


嗨,

在5次失败的登录尝试后,OOTB hybris阻止了一个用户帐户,但是在锁定该帐户之后,它仍然显示"您的用户名或密码不正确"。 通用错误消息。 如果我们将此错误消息更改为更具信息性的信息,例如"您的帐户已被锁定。",这是否会引起安全问题,因为暴力攻击者可以从站点中找到有效的用户名,然后将其滥用以进行进一步的安全攻击。

我从链接 https://www.owasp.org/index引用以下声明 .php/Blocking_Brute_Force_Attacks (部分锁定帐户下的第2点)。

•由于您无法锁定不存在的帐户,因此只会锁定有效的帐户名。 攻击者可能会利用此事实从网站中获取用户名,具体取决于错误响应。

我正在使用Hybris 6.6。

付费偷看设置
发送
2条回答
nice_wp
1楼-- · 2020-09-20 20:26

是的。 如果您说出错误消息,说明您的帐户已被锁定。 然后其他人知道该帐户存在并且密码错误。 但是可以根据需要定制这些消息。 OOB不会将消息显示为已锁定。

风早神人
2楼-- · 2020-09-20 20:43

是否鼓励进行自定义? 还是在安全性和更好的用户体验之间进行权衡?

一周热门 更多>