vbic 发表于 2007-4-30 14:53:34

发现csdn的1个issue

假设你有一个用户名abc1没有被注册,另有一个用户名abc2已经被注册了
你输入abc1,系统会提示你用户名不存在.
而你输入abc2,系统会提示你用记名或密码(口令)不正确

让入侵者就可以判断用户是不是存在于csdn的用户库中

walkman2508 发表于 2007-10-4 05:24:24

所有的论坛不都是这样吗?难道你有更好的建议?

Jor 发表于 2007-10-4 16:20:19

楼主的意思是 应该2个都提示:该用户不存在或者用户名不正确。。。。。 不过这要看客户的需求 。。 不是你说了算的。。。。

ericazou 发表于 2007-10-4 17:01:17

:victory:

puchonghui 发表于 2007-10-4 22:37:01

觉得lz说的确实是个问题
虽然影响不是很大

不过现在有不少论坛提示已经改了:
密码错误或用户名不存在
请重新登录
页: [1]
查看完整版本: 发现csdn的1个issue