Ataques al servicio de validez de correo electrónico

Navega tus respuestas
0

Con el fin de tener una mejor experiencia de usuario durante el registro en aplicaciones móviles, agregué un servicio web para verificar si existe una ID de correo electrónico antes de enviar el formulario. Según los registros de errores, parece que alguien está haciendo un mal uso de la API para verificar qué direcciones de correo electrónico existen en mi base de datos. Algunos de mis amigos me dijeron que los atacantes están usando las direcciones de correo electrónico que se filtraron recientemente de algunas organizaciones grandes.

¿Hay alguna manera de prevenir tales ataques? Dudo que cerrar el servicio web de validez del correo electrónico sea una buena idea, casi todos los servicios de autenticación parecen ofrecer esta función.

Nota para los moderadores: no sé qué etiquetas usar para esta pregunta, por favor sugiera algunas.

    
pregunta Jaguar 12.10.2017 - 23:36
fuente

1 respuesta

3

Hay una manera de retrasar tales ataques de tal manera que no quieran pasar el tiempo haciéndolo. Realice la verificación manual y limite la velocidad por IP a 1 cada X segundos. A un usuario no le importará mucho (dependiendo de cuánto tiempo es X), y lo hará un atacante. Especialmente si quieren revisar MUCHOS correos electrónicos.

Para hacer esto, necesitará un caché de direcciones IP que usen ese servicio y les dará una vida de X segundos. Si usan el servicio y la IP está en el caché, responda con un error del servicio.

Luego, en el formulario, después de que hayan terminado de escribir el correo electrónico durante X segundos, envíe la solicitud para verificar.

Esto significará que los sistemas automatizados no podrán utilizar su servicio sin demora también, pero se sorprendería de lo útil que resulta para prevenir estos ataques cuando ya no vale la pena que pasen tiempo atacándolos. / p>     

respondido por el Robert Mennell 13.10.2017 - 00:11
fuente

Lea otras preguntas en las etiquetas

Compruebe si la contraseña para el documento cifrado de ms office es correcta consultando la URL proporcionada por el usuario, ¿cuáles son algunas de las mejores prácticas? [cerrado]