如何解决通过重置密码功能的 Google Identity Toolkit v3 电子邮件枚举
在使用带有 angular 和节点后端的 Google 身份工具包时,我偶然发现了以下问题。有密码重置功能来重置用户密码,请求直接从客户端发送到谷歌 API。但是,未经身份验证的攻击者可以枚举我客户的电子邮件地址。
POST /identitytoolkit/v3/relyingparty/getoobConfirmationCode
...
{
"requestType":"PASSWORD_RESET","email":"peter@smith.de","continueUrl":"https://redacted.com/index","canHandleCodeInApp":true
}
如果电子邮件存在,API 会回复 HTTP 200 OK,如果电子邮件不存在,回复 HTTP 400。我该如何缓解这个问题?我希望 API 的响应始终相同。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
