我已经看过很多关于在注册页面上创建功能的文章,其中用户名将在数据库中自动检查,以便用户可以知道他的用户名是否已被占用。然而,这似乎对我来说非常不安全。我认为(不确定)黑客可能会淹没检查数据库并使服务器过载的PHP脚本。建立如下文所述系统的潜在安全风险是什么?这些问题的解决方案是什么?我在思考像DDoS和蛮力这样的事情,但我真的不知道。感谢。
关于该主题的文章:
答案 0 :(得分:1)
允许用户(或黑客)识别用户名存在的安全性影响可能非常不同。实际上,用户名和电子邮件对于用户枚举是相同的。那么当有人试图注册已经存在于数据库中的电子邮件时,我们会怎么做?我们要说"这封电子邮件已被使用" ?这也是用户枚举。我想说的是,我们在注册过程中没有针对枚举漏洞的%100解决方案。
但是你的问题与此无关,作为一名安全工程师,我们需要找到一个像样的安全设计,这个"特征。
对于这类病例,最常见的预防措施之一是限制速度"。您可以在一分钟内阻止向/ api / checkusername API发送30个HTTP请求的IP地址。