找回密码页面如何加入验证问答。

nas1 · 发表于 2023-2-24 14:25:28

被注册机通过找回密码页面大量输入被撞库的会员邮箱找回密码，导致邮件系统短时间产生大量邮件。

我知道答案回答被采纳将会获得1 贡献 + 1 金币已有5人回答

mfyoyo · 发表于 2023-2-24 14:28:46

email和用户名双向验证

nas1 · 发表于 2023-2-24 14:42:09

mfyoyo 发表于 2023-2-24 14:28
email和用户名双向验证

实际是只需要输入邮箱，就可以发送找回密码邮件。而且即使是email和用户名双向，攻击者只需要输入被撞库过的用户名和邮箱，就可以源源不断的发送邮箱。

mfyoyo · 发表于 2023-2-24 15:01:48

nas1 发表于 2023-2-24 14:42
实际是只需要输入邮箱，就可以发送找回密码邮件。而且即使是email和用户名双向，攻击者只需要输入被撞库 ...

EMAIL和用户名不匹配超过10次，锁定该IP24小时

false001 · 发表于 2023-3-19 09:52:55

mfyoyo 发表于 2023-2-24 15:01
EMAIL和用户名不匹配超过10次，锁定该IP24小时

这个功能好像没有吧？后台我也没有看到类似email和用户名不匹配的地方

mfyoyo · 发表于 2023-3-21 16:47:51

false001 发表于 2023-3-19 09:52
这个功能好像没有吧？后台我也没有看到类似email和用户名不匹配的地方

提供解决方法

[求助] 找回密码页面如何加入验证问答。