当我们创建 Google 帐户时,Google 会告诉我们是否存在具有指定用户名的帐户。
这不会导致用户枚举吗?
为什么不让用户先填写其他信息,通过验证码测试,通过验证码测试后再选择邮箱地址呢?这真的会让用户感到沮丧吗?
创建 Google 帐户时的用户枚举漏洞
信息安全
枚举
用户枚举
2021-08-13 02:04:05
2个回答
电子邮件帐户不是私人帐户,因此发现某个地址的风险很小。同样的事情可以通过向随机帐户发送电子邮件并查看反弹的内容来完成。
电子邮件帐户枚举不像真正的用户枚举那样有风险。
是的,但如果用户对请求进行速率限制、需要人性证据或在多次请求后撒谎的可能性增加,则用户枚举效率不高。
此外,大多数大型网络邮件系统依靠启发式垃圾邮件过滤器而不是电子邮件地址的不可猜测性来限制到达您收件箱的垃圾邮件数量。