応答時間によるユーザー列挙攻撃
投稿者
Marcos da Silva Xavier
knowledge-article-header-disclaimer-how-to
knowledge-article-header-disclaimer
legacy-article
learn-legacy-article-disclaimer-text
問題
- リクエストのレスポンスタイムを比較することで、メールアドレスが有効かどうかを判断することができる(すなわち、ユーザー列挙)。 これは、ブラウザのネットワークタブをチェックし、有効なパラメータが渡された場合とそうでない場合のレスポンスタイムを比較することで行うことができる。
解決策
- この問題は、 LPS-153080 によって解決され、DXP 7.4 U28に追加されましたので、このバージョンまたは最新のバージョンにアップグレードすれば解決するはずです。
- 必要であれば、U28より前のバージョンに対応するホットフィックスをLiferayサポートにリクエストすることができます。
did-this-article-resolve-your-issue