点击此处--->
群内免费提供SAP练习系统(在群公告中)
加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)
嗨,
在5次失败的登录尝试后,OOTB hybris阻止了一个用户帐户,但是在锁定该帐户之后,它仍然显示"您的用户名或密码不正确"。 通用错误消息。 如果我们将此错误消息更改为更具信息性的信息,例如"您的帐户已被锁定。",这是否会引起安全问题,因为暴力攻击者可以从站点中找到有效的用户名,然后将其滥用以进行进一步的安全攻击。
我从链接 https://www.owasp.org/index引用以下声明 .php/Blocking_Brute_Force_Attacks (部分锁定帐户下的第2点)。
•由于您无法锁定不存在的帐户,因此只会锁定有效的帐户名。 攻击者可能会利用此事实从网站中获取用户名,具体取决于错误响应。
我正在使用Hybris 6.6。
{var%20f='http://v.t.sina.com.cn/share/share.php?appkey=1515056452',u=z||d.location,p=['&url=',e(u),'&title=',e(t||d.title),'&source=',e(r),'&sourceUrl=',e(l),'&content=',c||'gb2312','&pic=',e(p||'')].join('');function%20a(){if(!window.open([f,p].join(''),'mb',['toolbar=0,status=0,resizable=1,width=440,height=430,left=',(s.width-440)/2,',top=',(s.height-430)/2].join('')))u.href=[f,p].join('');};if(/Firefox/.test(navigator.userAgent))setTimeout(a,0);else%20a();})(screen,document,encodeURIComponent,'','','http://www.easysap.com/data/attach/logo/logo.png', '推荐 闻人可可 的问题《在登录页面上更改通用暴力破解错误消息。》','https://www.easysap.com/q-91536.html','页面编码gb2312|utf-8默认gb2312'));){kind=link}
是的。 如果您说出错误消息,说明您的帐户已被锁定。 然后其他人知道该帐户存在并且密码错误。 但是可以根据需要定制这些消息。 OOB不会将消息显示为已锁定。
是否鼓励进行自定义? 还是在安全性和更好的用户体验之间进行权衡?
一周热门 更多>