黑客尝试使用大小写错误的用户名 时间:2017-11-10 作者:Nora McDougall-Collins 今天,WordFence发送了一封电子邮件,表示有人试图使用完全正确的用户名登录到客户端网站,但案例除外。我突然想到,可能在登录过程中唯一不区分大小写的系统就是他们的Windows网络。虽然我建议他们为所有域名获得一个安全证书,以便对数据进行加密,但登录数据流中是否存在另一个常见的漏洞,可以在没有这种情况下获取用户名?例如,我认为WordPress登录表单必须按照输入的大小写来选择用户名。而且,键盘跟踪器会检测到按下了shift键。 1 个回复 SO网友:Mark Kaplun Wordpress不将用户名视为私人信息。获取任何撰写过帖子的人的用户名都很简单,根据使用错误密码时登录表单上显示的错误获取活动用户名列表也不是很复杂。尽管我个人不喜欢这项政策,但最终大多数用户名都很容易被猜到,更有针对性的攻击可以使用电子邮件adrress(对许多人来说,这是一种公开信息)尝试登录。最好的建议可能是减少对“安全”插件的强调,这些插件报告了许多你无能为力的事情,或者只是“互联网上到处都是坏人”这一事实的一部分,并将重点放在保持良好的用户密码和尽可能限制用户能力上。 结束 文章导航
