对于许多网站,可以使用计时攻击来枚举用户。换句话说,当我尝试使用有效的用户名登录时,我的响应时间与尝试使用无效的用户名登录的时间不同(假设密码总是错误的)。因此,无论用户名是有效还是无效,一种解决方案是登录操作以随机或恒定时间返回。你如何解决这个问题?什么是最佳实践?
答案 0 :(得分:0)
代码会因网站的语言而异。 PHP中的一个例子是
xargs -n 1 -I % sh -c 'echo %; dig +short A %;' < domainlist.txt
当然,您需要确定系统性能的基线,以确定最佳等待时间。
答案 1 :(得分:0)
另一种解决方案是添加验证码验证,这将增加额外的随机等待时间以及额外的安全级别
答案 2 :(得分:0)
可能的解决方案: 假设成功登录与失败登录之间的时间差为0.5秒