登录页面的提示信息(安全角度与用户角度思考)

最新推荐文章于 2024-09-08 22:01:54 发布
最新推荐文章于 2024-09-08 22:01:54 发布
阅读量1.9k 收藏 2
点赞数
分类专栏: 安全测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/loner_fang/article/details/81326416
版权

最近在学习安全测试,才知道原来登录页的错误提示也是有讲究的。

之前所考虑到的层面仅仅停留在用户的角度,就是用户名/密码错误的话,应当给出具体的错误信息,比如“用户名错误,请重新输入”或者“密码错误,请重新输入”。最近学习到安全测试,用appscan扫描工具测试,出现了一个安全漏洞叫做“登录错误消息凭证枚举”,说的就是怕提示的太具体会给攻击者暴力破解的可能性。因此,从安全的角度考虑,应当给出错误信息“用户名或密码错误,请重新输入”。

角度不同,所考虑的东西就不一样。

蒲公英上的尘埃
关注
专栏目录
软件测试经典面试题二之用户登录界面
qq_41625341的博客
02-05 4174
    面试中,针对“用户登录”界面设计测试用例这个题目可以说是非常的耳熟能详了!可能你会说,“用户登录”这个测试对象也有点太简单了吧,我只要找一个用户,让他在界面上输入用户名和密码,然后点击“确认”按钮,验证一下是否登录成功就可以了。的确,这构成了一个最基本、最典型的测试用例,这也是终端用户在使用系统时最典型的 Happy Path 场景。     但是作为测试工程师,你的目标是要保证系统在各种...
竞品分析:腾讯课堂vs中国大学MOOC(从用户体验五要素角度
weixin_44169699的博客
07-23 7052
目录1.分析背景2.竞品对象3.用户体验五要素方面进行竞品分析3.1战略层3.2范围层3.3结构层3.4框架层3.4.1界面设计3.4.2导航设计3.4.3信息设计:有效的信息沟通3.5表现层4.总结 1.分析背景 教育一直以来是人们十分关注的话题,而随着互联网时代的发展,在线教育也加快步伐走进了人们的视野,日益受到人们的欢迎。人们或抓紧碎片化时间或利用大块空闲时间,通过或离线下载或在线直播的线上教育课堂进行学习。MOOC等一些平台更是和高等学校合作,打造精品课程,希望将优质的教育资源面向公众免费开放。 2
登录信息提示
weixin_33906657的博客
09-08 287
通过修改 issure motd 实现 登录前后的信息提示登陆信息显示数据 : /etc/issue (无论登录成功与否都会显示)登陆信息显示数据 :/etc/motd(只有登录成功了才能显示)关于/etc/motd/etc/motd即messageoftoday(布告栏信息),每次用户登录时,/etc/motd文件的内容会显示在用户的终端。系统管理员可以在文件中编辑系...
登录注册提示信息
weixin_30500105的博客
09-19 717
<tr> <td align="right" class="a16">登录帐号:</td> <td><div class="tj_srk2" style="width:40%;float:left;"><input placeholder="请输入登录账号" name="loginname" id="loginname"...
数据结构——顺序表
最新发布
m0_66847953的博客
09-08 795
顺序表是一种基本的数据结构,它通过连续的内存空间来存储数据元素,每个元素占据相同的存储空间,且在逻辑上相邻的元素在物理位置上同样相邻(存储结构)。
linux登入提示信息
生活不只是眼前的苟且,还有诗和远方!
07-10 1150
etc/issue:普通用户登录前显示的信息。:网络登录时显示的信息。/etc/motd:用户登录后显示的信息(Message of the Day)。编辑这些文件可以自定义您希望显示的登录提示信息。注意,在编辑这些文件之前,请备份原始文件以防万一,并确保信息的清晰和合规性。
网站提示信息的含义 200 500 101 205
05-15 248
HTTP 1xx - 信息提示这些状态代码表示临时的响应。客户端在收到常规响应之前,应准备接收一个或多个 1xx 响应。 100 - 继续。 101 - 切换协议。 2xx - 成功这类状态代码表明服务器成功地接受了客户端请求。 200 - 确定。客户端请求已成功。 201 - 已创建。 202 - 已接受。 203 - 非权威性信息。 204 - 无内...
登录页循环提示请登录问题记录
Waste_youth的博客
12-21 3886
登录页循环调用请登录问题记录 2021/12/21 bug记录: 遇到一个问题:登录页面循环提示“请登录” 本来想贴视频,结果发现不支持,就简单描述一下 背景: 我们系统对接统一门户,可以理解为,我们系统是一个房子里面的卧室,便于别人拥有大门钥匙就可以进入各个房间,而不需要拥有每个房间钥匙 操作步骤: 1、访问统一门户页面,输入账号密码 2、点击登录 预期结果: 登录成功/登录失败 原因复盘: PS:这里是我找开发问的,做的记录,不一定准确,如果错误,请帮忙指出,非常感谢 我们系统点击登录(/login)
企业客户端APP界面设计与用户体验.pdf
08-26
同时,设计师需要始终站在用户角度思考问题,确保界面设计易于理解和使用,减少用户操作的陌生感和难度。 其次,界面设计风格应与企业品牌形象相吻合。企业APP的风格应当传达出企业的核心价值和文化,创造出一种与...
"网页交互设计技术: 从用户角度出发的有效性、高效性和满意度
用户长时间不操作时,可以显示友好的提示信息。适时的帮助可以提高用户的满意度和使用效果。 四、简洁清晰,自然易懂 “简洁清晰,自然易懂”是指网页设计应该避免过度冗杂的布局和复杂的操作流程。页面布局应...
基于笔的用户界面可以提供更好的学习体验
一个简单的梁分析的教育工具,开发使用基于笔的用户界面与计算机,使学生可以手写和素描。首先绘制出梁截面的几何图形,然后采用形状匹配技术对图形进行识别各种梁载荷通过绘制手势或编写奇异函数来添加学生通过绘制...
SAP 登录画面提示信息修改
weixin_42396921的博客
08-01 3754
  进入系统,通过事务代码SE61,选择常规文本(TX),创建名称ZLOGIN_SCREEN_INFO的文本,编辑好保存就可以了
登录失败信息测试
酷狗直播-锦凡歆的博客
05-20 894
登录失败信息测试 在用户登录系统失败时,系统会在页面显示用户登录的失败信息,假如提交账号在系 统中不存在,系统提示用户名不存在”、“账号不存在”等明确信息;假如提交账号在系统 中存在,则系统提示“密码/口令错误”等间接提示信息。攻击者可根据此类登录失败提示 信息来判断当前登录账号是否在系统中存在,从而进行有针对性的暴力破解口令测试 锦凡歆在‘来疯’直播唱歌最好听 ...
测试面试-安全测试
m0_38082334的博客
04-10 4058
测试-安全测试
springsecurity中详细显示登录错误提示信息
jackyrongvip的专栏
12-03 3301
在spring security中,默认情况下,不管你是用户名不存在,密码错误,SS都会报出Bad credentials异常信息,而不现实具体的错误,原因是在: DaoAuthenticationProvider的父类AbstractUserDetailsAuthenticationProvider的authenticate方法中 [code="java"] ...
IBM Security 扫描解决方案整理
ACGkaka的博客
01-19 900
目录1.SQL盲注2.已解密的登录请求解决方案(应用于Shiro):后端:1 引入RSA MAVEN 坐标2 新增/rsa/public接口,用于前端获取加密公钥3 开放/rsa/public接口的访问权限4 登陆时加密发送过来的请求参数进行解密前端:1 下载并引入jsencrypt.min.js2 在login.js中增加如下代码:3.不充分的账户封锁4.会话标识未更新5.登录错误消息凭证枚举6...
IBM AppScan 安全漏洞问题修复(.net)
df4285的博客
11-10 481
按问题类型分类的问题 使用 SQL 注入的认证旁路2 已解密的登录请求3 登录错误消息凭证枚举1 会话标识未更新2 跨站点请求伪造1 Missing "Content-Security-Policy" header 9 Missing "X-Content-Type-Options" header 9 Missing "X-XSS-Protection" hea...
设置错误信息枚举表
weixin_45521583的博客
06-30 264
设置错误信息枚举表 public enum ResponseCode { SUCCESS("000000", "成功"), LOGINERR("BIZ100102", "登录失败"); private String code; private String desc; public String getCode() { return code; } public void setCode(String code) { this.code = code; } public
利用POST进行用户登录的安全问题剖析
热门推荐
萧动的专栏
06-05 1万+
POST是一种提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值