로그인-회원가입 시도가 무제한인 문제 #148
Description
- 로그인 시도가 무제한인 문제
상대의 이메일만 안다면 로그인 시도가 무제한이기에 무차별 대입공격이 가능할 거 같습니다.
특정 IP 로 1시간에 최대 10회 로그인 시도 허용과 같은 제한을 두어 보안을 강화하는 것이 좋을 거 같습니다.
- 회원가입 시도가 무제한인 문제
위 경우와 비슷하게 IP 시도 제한이 필요할 거 같습니다.
아직 시도는 해보지 않았습니다! ( 혹시 모르니 작성해두겠습니다 )
아래에 이메일 중복 확인 코드가 있는 것으로 보입니다.
https://github.com/BUZZINGPolarBear/Server-AstroChaser/blob/52bb7c0efde584774760fbc93fe084ab799b4a57/src/app/User/userProvider.js#L19
이 또한 무차별 대입공격으로 이메일 유추가 가능할 거 같습니다.
그래서 IP 당 시도 제한을 두는 것이 조금 더 보안이 안전할 거 같습니다.