アカウント名:
パスワード:
三井住友銀行のネットバンキングもログインIDが口座番号=公開情報でパスワードを連続して間違えまくるとロックがかかってしまい口座所有者もログインできなくなるこういうのはサービス拒否攻撃が可能な脆弱性と言って良いのでは
IDが非公開でかつ、・ランダムで推測不可な長さ もしくは・ユーザが任意の文字列に変更可能であるならば、ロックをかけても構わないけどね
CAPECにも登録されている定番の攻撃方法ですね。CAPEC-2: Inducing Account Lockout [mitre.org]
脆弱性視点では、こちらに関連付けされています。CWE-400: Uncontrolled Resource Consumption [mitre.org]
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
吾輩はリファレンスである。名前はまだ無い -- perlの中の人
サービス拒否攻撃が可能な脆弱性と言って良いのでは (スコア:5, すばらしい洞察)
三井住友銀行のネットバンキングもログインIDが口座番号=公開情報でパスワードを連続して間違えまくるとロックがかかってしまい口座所有者もログインできなくなる
こういうのはサービス拒否攻撃が可能な脆弱性と言って良いのでは
IDが非公開でかつ、
・ランダムで推測不可な長さ
もしくは
・ユーザが任意の文字列に変更可能
であるならば、ロックをかけても構わないけどね
Re:サービス拒否攻撃が可能な脆弱性と言って良いのでは (スコア:5, 参考になる)
CAPECにも登録されている定番の攻撃方法ですね。
CAPEC-2: Inducing Account Lockout [mitre.org]
脆弱性視点では、こちらに関連付けされています。
CWE-400: Uncontrolled Resource Consumption [mitre.org]