最近在学习安全测试,才知道原来登录页的错误提示也是有讲究的。
之前所考虑到的层面仅仅停留在用户的角度,就是用户名/密码错误的话,应当给出具体的错误信息,比如“用户名错误,请重新输入”或者“密码错误,请重新输入”。最近学习到安全测试,用appscan扫描工具测试,出现了一个安全漏洞叫做“登录错误消息凭证枚举”,说的就是怕提示的太具体会给攻击者暴力破解的可能性。因此,从安全的角度考虑,应当给出错误信息“用户名或密码错误,请重新输入”。
角度不同,所考虑的东西就不一样。
最近在学习安全测试,才知道原来登录页的错误提示也是有讲究的。
之前所考虑到的层面仅仅停留在用户的角度,就是用户名/密码错误的话,应当给出具体的错误信息,比如“用户名错误,请重新输入”或者“密码错误,请重新输入”。最近学习到安全测试,用appscan扫描工具测试,出现了一个安全漏洞叫做“登录错误消息凭证枚举”,说的就是怕提示的太具体会给攻击者暴力破解的可能性。因此,从安全的角度考虑,应当给出错误信息“用户名或密码错误,请重新输入”。
角度不同,所考虑的东西就不一样。