拥有开放帐户创建终结点是否安全?
问题描述:
我想创建一个网页,允许人们在我们的春季服务器上创建一个帐户。我幼稚的做法是这样的:拥有开放帐户创建终结点是否安全?
- 创建端点“的createAccount”,其中一个网站可以执行后方法(电子邮件&密码发送给它)
- 创建一个帐户创建表单(www.myurl。 com/createaccount.html)
- 当用户填写本网站上的电子邮件和密码并点击提交时,数据将存储在数据库内,并带有一个标志,表明用户尚未得到确认,同一时间电子邮件为发送到他的邮件与激活链接
- 当他点击此链接,用户得到确认
因为即时通讯在网络安全方面的专家,我需要知道,如果
- 它是安全的,有一个不受保护的端点此任务
- 有一个更好的选择,让用户创建账户
在此先感谢
答
我不是安全专家,但这里是我能想到的风险:
- 有人可以编写脚本来自动创建系统上的帐户。这些帐户可用于访问受保护的端点。
- 有人可以编写一个脚本来枚举电子邮件地址并使用您的端点来确定系统上是否存在电子邮件地址。
有些事情,人在这种情况下,这样做:
- 验证码,以防止脚本从注册
- 邀请,只报名:新帐户只能通过系统的现有用户可以创建,或者也许只有管理员用户。
如果网站没有很多流量,那么也许有人利用端点的机会不如高端网站那么好。