AJAX確認ユーザー名機能のセキュリティ

Question

登録フォームには、AJAX呼び出しを使用してユーザー名が使用可能かどうかを確認する機能があります。

それはかなりまっすぐ進む

だ

• ユーザ名のレコードが見つかった場合はそれ以外の場合は利用でき返し、リターンが取られ、データベース
• に対する当社のサービス
• チェックのユーザー名への呼び出しを行います。

ユーザーが数秒間入力を停止すると、サービスへの呼び出しが実行されます。

しかし、私たちの問題は、攻撃者がサービスに何らかの手段を使用して、すべてのユーザ名のリストをコンパイルできることです。

誰かがこの種の「攻撃」を防止する良い方法を知っていますか？

私が思いつくことができるのは、Captchaを前面に出すように要求していた唯一の人だが、これはユーザーエクスペリエンスが良くなくて、人々が私たちのフォームに記入しない可能性がある。

私たちは、まったく役に立ったら、ASP.NET MVC、C＃、SQL Serverを使用しています。

ご協力いただきありがとうございます、ありがとうございます！

Answer 1

ユーザーに特定の数の要求のみを許可するか、各要求に0.5-1秒の待ち時間を追加することによって、レートを制限することをお勧めします。これらのいずれかを実行することにより、攻撃者が妥当な時間内にかなりの数のユーザー名を列挙するのがずっと難しくなります。

あなたのアプリケーションをより安全に保護する方法は、誰もがあなたのユーザーのリストを持っているかのように扱うことです。攻撃者がすべてのユーザーを知っていると仮定すると、ブルートフォース攻撃からどのように保護しますか？レート制限によるパスワード試行。 10分程度でパスワードの試行を数回行うだけで、アプリケーションのユーザーを大幅に保護することができます。

個人的には、「サッカーファン」のように、パスワード（「パスワード」や「クォーティー」など）が安全である必要があります。は安全なパスワードにしてください。どうして？あなたはすぐに "サッカーファン"を推測するつもりはないからです。あなたのブルートフォーザの辞書では100分の1になるだろうと推測していて、その金額の近くのどこかでログインしようとすると、彼らは禁止されなければならず、ユーザは通知を受けるべきでした。 （ところで、私は人々がそのようなパスワードを使うべきではないと言っている、より複雑な方が良い）。

Answer 2

あなたは、ajaxリクエストが同じ起源から来ていることを確認して、何らかのスロットルをそこに置くこともできます。リクエストに署名することもできます。

調整することによって、たとえば、1つのIPアドレスで1日あたり最大10個のリクエストが許可されます。

Answer 3

もう1つの方法は、クライアントに数秒かかる計算をさせることです。

サーバー側では、計算された値は非常に小さなCPUリソースで確認できます。クライアントによって計算された結果が正しい場合にのみ、要求が処理されます。

このようなアルゴリズムは、Trapdoor functions