그래서 사용자 이름, 이메일 주소 및 전화 번호가 이미 존재하는지 여부를 자동으로 확인하는 등록 페이지를 만들었습니다. 그 중 하나가 이미 계정에 등록되어있는 경우 입력 필드를 클릭하자마자 이미 등록되어 있고 다른 값을 입력해야한다는 것을 알리는 즉시 동일한 페이지에서 알림을 받게됩니다.등록 자동 입력 유효성 검사 보안/개인 정보 보호
내 관심사는 누군가가이 필드에 값을 입력하고 입력 된 데이터가 이미 등록되었는지 여부를 기록하는 스크립트를 작성할 수 있다는 것입니다. 그렇게하면 등록 된 모든 사용자 이름, 전화 및 전자 메일의 목록을 가져올 수 있습니다.
신경 써야 할 것입니까? 예방해야 할 것이 있습니까? 필자는 IP 당 10-20 개의 입력 검증 검사 만 허용하는 것을 구현할 수 있습니다. 노력할만한 가치가 있습니까? 취약성 및/또는 나쁜 관행으로 간주되는 등록 된 모든 사용자 이름의 목록이 누출 되었습니까?
내가 이것을 막아야한다고 생각한다면 가장 좋은 방법은 무엇이라고 생각하십니까? 같은 reCAPTCHA를 같은 보안 문자를 사용
다음을 사용하여 등록 페이지의 무차별를 방지 할 수 있습니다
코드의 IP에 따라 유효성 검사 블록을 설정하지 마십시오. 여러 사용자가 동일한 장치 (또는 심지어 상황에 따라 사무실 또는 국가)없이 동일한 공용 IP를 가질 수 있습니다. 서버는 임의의 무차별 대입 공격 (아주 짧은 시간 내에 동일한 종단점에 대한 많은 반복 요청)을 처리해야합니다. 정보는 얼마나 민감합니까? 표준 [CSRF 보호] (https://en.wikipedia.org/wiki/Cross-site_request_forgery)는 보통 충분히 잘 작동합니다. –
@MagnusEriksson 입력 해 주셔서 감사합니다. IP를 확인하지 않으면 실제 사람 트래픽과 브루투 포드 트래픽을 쉽게 구분할 수 있을지 잘 모르겠습니다. 정교하게 주시겠습니까? 정보는 매우 민감하지 않고 교육 플랫폼 일 뿐이지 만 올바른 실행을 원합니다. –
무언가/무언가 등에서 서버 수준 (코드가 아닌 서버 수준)에서 서버를 보호하는 방법에 대한 정보를 검색해야합니다. CSRF를 구현함으로써 시작하고 그 날이되면 무차별 공격으로부터 서버를 보호하는 것에 대해 걱정할 필요가 있습니다. –