Sto lavorando su un'applicazione node.js che consente agli utenti di registrarsi per account usando i social media. Quando lo fanno, viene creata una voce nel nostro database con il loro indirizzo email e una password vuota.
Quando ho visto questo mi sono preoccupato che qualcuno potesse semplicemente fornire un indirizzo email e una password vuota per accedere come chiunque avesse un account di social media. Dopo alcuni test rapidi sembra che ci sia una riga nel codice di autenticazione che genera un errore se c'è una password di lunghezza zero. La linea è sotto:
if (!username || !password) { ...
L'unica cosa che ho potuto pensare di provare a fare questo è stato passare un carattere DEL con codifica URL in ( %7F
), ma questo non l'ha bypassato.
Sono curioso di sapere se sono al sicuro con quanto sopra o se c'è un personaggio che potrebbe essere passato in modo da superare il controllo sopra?