在題主這個情景下沒有驗證碼
安全隱患按照道理一般都是存在的,先設定具體情境。
比如我知道一個使用者的賬號admin,填寫個不存在的手機號,然後我無限呼叫介面,繞過前臺某些限制,在單位時間內無限讓伺服器進行傳送驗證碼,然後重置。進行暴力破解。
一般解決方案是,後臺進行了限制,也就是不管怎麼請求要求伺服器傳送驗證碼,在單位時間內,只能傳送幾條驗證碼,不然給予提示(比如在單位時間15分鐘內,只能為一個使用者傳送3條驗證碼等),這樣子相對保護了使用者的安全性,但是我稍微換個賬號admin88,然後可以再次這樣無限呼叫介面,(每次傳送驗證碼簡訊,公司一般都要付出一定成本0.01元到0.1元不等)這樣對公司的成本有一定影響(而且當中怎麼利用這個漏洞,牽涉到黑產了,這裡先不做描述)。
這樣子基本就安全了,但是保不齊你頁面中還有什麼可以利用的資訊,以及和別的點一起聯合起來用的資訊。所以完全根治的辦法就是防止機器人指令碼。在安全這塊最煩的就是幾個點一起聯合起來,單個看這些點其實沒有問題,但是聯合起來就是漏洞了,攻擊方的奇思妙想,你想象不到。
綜上所述:
1.該產品此舉是否存在安全隱患?
肯定有一定安全隱患,看承受度,看具體app。
2.有沒有可能該app使用者少而找回密碼功能不常用,所以沒有加驗證碼?
不存在的,app使用者少,我可以用你自帶的傳送簡訊功能啊,這個裡面都有黑產的。
在題主這個情景下沒有驗證碼
安全隱患按照道理一般都是存在的,先設定具體情境。
比如我知道一個使用者的賬號admin,填寫個不存在的手機號,然後我無限呼叫介面,繞過前臺某些限制,在單位時間內無限讓伺服器進行傳送驗證碼,然後重置。進行暴力破解。
一般解決方案是,後臺進行了限制,也就是不管怎麼請求要求伺服器傳送驗證碼,在單位時間內,只能傳送幾條驗證碼,不然給予提示(比如在單位時間15分鐘內,只能為一個使用者傳送3條驗證碼等),這樣子相對保護了使用者的安全性,但是我稍微換個賬號admin88,然後可以再次這樣無限呼叫介面,(每次傳送驗證碼簡訊,公司一般都要付出一定成本0.01元到0.1元不等)這樣對公司的成本有一定影響(而且當中怎麼利用這個漏洞,牽涉到黑產了,這裡先不做描述)。
這樣子基本就安全了,但是保不齊你頁面中還有什麼可以利用的資訊,以及和別的點一起聯合起來用的資訊。所以完全根治的辦法就是防止機器人指令碼。在安全這塊最煩的就是幾個點一起聯合起來,單個看這些點其實沒有問題,但是聯合起來就是漏洞了,攻擊方的奇思妙想,你想象不到。
綜上所述:
1.該產品此舉是否存在安全隱患?
肯定有一定安全隱患,看承受度,看具體app。
2.有沒有可能該app使用者少而找回密碼功能不常用,所以沒有加驗證碼?
不存在的,app使用者少,我可以用你自帶的傳送簡訊功能啊,這個裡面都有黑產的。