[英]How to prevent attackers from using my password reset mechanism to email bomb people?
我的 web 應用程序有一個非常標准的功能,它允許忘記密碼的用戶通過向自己發送密碼重置 email 來重置密碼,其中包含指向頁面的鏈接以創建新密碼。
我擔心 person1 可能會使用此頁面騷擾 person2,聲稱需要重置密碼 email,但提供 person2 的 email 地址,並使用機器人自動執行此操作,向 person2 發送大量電子郵件。 它不會泄露任何秘密,但它可能會很煩人,甚至是他們收件箱上的 DoS,我的應用程序會受到指責。
我知道我可以限制發送 email 的 api 調用,但是怎么做? 進行 api 調用的用戶無法通過身份驗證,因為如果他們已登錄,則不需要重置。 如果 api 調用打開,則無法驗證調用者,因為任何一般請求信息(如 IP)都可能被欺騙(或通過代理服務器發送)。
如果我在全局范圍內限制 api 調用,那么如果大量合法用戶恰好同時使用該功能,他們可能會被鎖定。
你如何處理這樣的情況?
限制您將發送多少郵件到同一個 email 地址,無論它們是如何被請求的。 這不需要您限制總共要處理的重置次數; 只是每個地址。
如何使用網絡嗅探工具保護公共 REST API 免受攻擊者的攻擊
[英]How to protect public REST API from attackers using network sniffing tools
如何在Django Rest框架中從電子郵件和密碼獲取身份驗證令牌?
[英]How to get auth token from email and password in django rest framework?
如何防止其他iOS / Android應用程序使用我的RESTful API?
[英]How can I prevent other iOS/Android apps from using my RESTful API?
RESTful api方法,用於驗證用戶的電子郵件ID,激活帳戶並重置密碼
[英]RESTful api method to verify user's email id , activate account and reset password
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
