Attacchi al servizio di validità della posta elettronica

Naviga le tue risposte
0

Per avere un'esperienza utente migliore durante la registrazione su app mobili, avevo aggiunto un servizio Web per verificare se esiste un ID e-mail prima di inviare il modulo. In base ai log degli errori, sembra che qualcuno stia abusando dell'API per verificare quali indirizzi di posta elettronica esistono nel mio database. Alcuni dei miei amici mi hanno detto che gli aggressori stanno utilizzando gli indirizzi email recentemente trapelati da alcune grandi organizzazioni.

C'è un modo per prevenire tali attacchi? Dubito che la chiusura del servizio web di validità della posta elettronica sia una buona idea: quasi tutti i servizi di autenticazione sembrano offrire questa funzionalità.

Nota per i moderatori: non so quali tag utilizzare per questa domanda, per favore suggerirne alcuni.

    
posta Jaguar 12.10.2017 - 23:36
fonte

1 risposta

3

C'è un modo per ritardare tali attacchi in modo tale da non voler sprecare tempo a farlo. Fai il manuale di controllo e calcola il limite per IP a 1 ogni X secondi. A un utente non importa molto (dipende da quanto tempo X è), e un attaccante lo farà. Soprattutto se vogliono controllare un sacco di e-mail.

Per fare ciò avrai bisogno di una cache di indirizzi IP che usano quel servizio, e dai loro una vita di X secondi. Se usano il servizio e l'IP è nella cache, rispondono con un errore dal servizio.

Poi nel modulo, dopo aver finito di digitare l'email per X secondi, invia la richiesta di controllo.

Ciò significa che i sistemi automatizzati non saranno in grado di utilizzare il servizio senza indugio, ma sarete sorpresi di quanto sia utile prevenire questi attacchi quando non sarà più utile per loro passare il tempo ad attaccarlo.

    
risposta data 13.10.2017 - 00:11
fonte

Leggi altre domande sui tag

Modo corretto per proteggere una directory dei registri Controllare se una password per il documento dell'ufficio di MS criptato è corretta