我刚刚在一个网站上发现似乎存在安全问题。我不是安全专家,所以我想在向网站报告漏洞之前确认一些要点。
该网站使用“电子邮件链接”进行身份验证。为了接收“电子邮件链接”,用户在网站的登录表单中输入他们的电子邮件。这会发送以下 HTTP 请求:
POST https://thewebsite.com/login
{
"email": "john.doe@gmail.com"
}
如果该用户存在于网站的数据库中,则 HTTP 响应代码为 200,否则响应为 404。
这让我想到了以下漏洞:
我想听听安全专家的意见,我应该报告这个问题吗?这些类型的攻击是否有通用名称?
答案 0 :(得分:0)
是的,这是一个漏洞,我们称之为用户枚举。