所以我创建了一个注册页面,自动检查您输入的用户名,电子邮件地址和电话是否已经存在。如果其中任何一个已经注册了一个帐户,那么当你点击输入字段时,你会在同一页面上收到一个通知,说它已经注册了,你应该输入一个不同的值。
现在我担心的是,有人可能会写下一个脚本,将暴力值到这些字段,并记录是否输入的数据已经注册或没有。这样他们就可以得到所有注册用户名、电话和电子邮件的列表。
这是你应该关心和预防的事情吗?我可以实现一些东西,每个IP只允许10-20次输入验证检查。值得为之付出努力吗?泄露所有注册用户名的列表是否被认为是漏洞和/或不良做法?
如果你认为我应该阻止这件事,你认为最好的方法是什么?
您可以使用以下命令来防止注册页面的暴力破解,
- 使用验证码,如recaptcha,首选
- 使用通用消息,如"您将收到{email_id}上的电子邮件,如果它尚未注册到应用程序"。但是,正如您提到的,您想要验证用户名、电子邮件id和电话号码。在这种情况下,您可以询问通过OTP验证电子邮件id或电话号码,一旦用户验证了电子邮件id或电话号码(或根据您的应用程序上下文同时验证两者),您可以提供选择用户名的选项。但是,恶意用户仍然可以在这里进行用户名暴力破解,但是您可以在此场景中使用经过验证的电话号码/电子邮件id设置限制。