Firebase 用户枚举攻击-6ren

Firebase 用户枚举攻击

转载作者：行者123 更新时间：2023-12-04 02:08:01

27

4

我正在寻找有关 Firebase 防止暴力密码猜测的更多详细信息。

在此thread , Kato 说“我们按来源限制请求以减轻任何蛮力方法”，可以提供更多信息吗？特别是:

节流何时开始，如果在任何时候客户端被完全阻止一段时间等等？
我们能否在安全规则中指定失败尝试次数，之后客户端将被锁定一段时间？

我想在我的应用程序上切换到只有数字的“小键盘”密码，并且担心枚举攻击。我需要确定确保密码安全的最少位数。

谢谢!

最佳答案

Frank 在评论中回答了，所以我只是添加两个可能有用的附加信息:

Firebase 会阻止使用少于 6 个字符的密码(请参阅 FirebaseAuthWeakPasswordException)
当在特定设备上检测到异常事件时，将抛出特定错误代码 (ERROR_TOO_MANY_REQUESTS)。因此，您可以轻松地进行一些测试以查看错误触发的速度。我刚刚做了，3-4 次不正确的密码尝试触发了错误并阻止了来 self 设备的请求。

来自文档: auth/too-many-requests如果请求因异常事件而被设备阻止，则抛出。延迟一段时间后重试将解除阻塞。

关于Firebase 用户枚举攻击，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/41602468/

27

4

0

文章推荐： octopus-deploy - Octopus Deploy 可以有变量中的变量吗

文章推荐： angular - 如何在 Angular 2 中订阅 DOMContentLoaded 事件？

文章推荐： memory - 操作系统 - 匿名内存

firebase - 如何在 Firebase 托管中关闭默认域 - firebase
我刚刚设置了新的 Firebase 托管以及我的自定义域和我的网页等... 一切都很好，除了真正困扰我的是默认域: projectname.web.app projectname.firebaseap
firebase - Firebase 云消息传递和 Firebase 应用内消息传递有什么区别
Firebase 云消息传递和 Firebase 应用内消息传递有什么区别？它们都会向您的应用发送发生了某些事情的通知。我查看了他们的文档，这些是他们的单行描述: Firebase 云消息传递: Fi
firebase - 如何将数据和设置从一个 Firebase 迁移到另一个 Firebase？
是否有任何工具可以帮助将数据从开发迁移到登台再到生产？如果没有，是否有计划 build 它们？我知道您可以从 Forge 导出 JSON 和导入 JSON，但这不包括授权和安全设置。最佳答案我们
firebase - firebase 网络应用程序和 firebase 托管有什么区别
firebase 网络应用和 firebase 托管有什么区别？据我所知，网络应用程序用于实际上只是浏览器的应用程序，并且 firebase 托管仅用于网站。最佳答案 Firebase for We
firebase - 如何在其他 firebase 项目中使用 firebase 身份验证
我有两个 firebase 项目 F1 和 F2。我正在使用基于密码的身份验证来识别 F1 上的用户。我希望在 F2 中识别相同的用户。所以我正在考虑以下基于 this question 的场景: C
firebase - 如何为 firebase 创建服务帐户以与 firebase 功能一起使用
正在使用 firebase 云功能构建服务器，我需要其他服务器来调用我的服务器端点。最重要的是，我需要这些调用我的服务器的第三方域进行身份验证。问题 1:如何创建这样的服务帐户，在调用中包含服务帐
firebase - 我的 firebase 用户身份验证中的未知用户 (Flutter/firebase)
我开发了一个应用程序来测试使用 flutter 和谷歌身份验证的谷歌登录功能。该项目是一个封闭的项目，只有我可以访问它。但最近我看到有一个来自未知电子邮件 ID 的谷歌登录。用户如何在没有构建我的应用
firebase - 从 firebase 函数触发器访问 firebase 托管文件
我有 2 个存储库，一个用于 firebase 功能，另一个用于静态 firebase 托管 react 站点。他们都使用相同的firebase项目。 myfirebaseproject --- fi
firebase - 以编程方式更改默认的 firebase 数据库并在默认数据库和辅助数据库上运行相同的 firebase 函数
背景 -我正在设置一项新功能，允许用户选择他们所在的城市，因为我的应用程序是一个公共(public)交通应用程序。我希望城市位于单独的数据库中，为此我在我的 firebase 项目中创建了一个辅助数据
firebase - 具有一个 Firebase 身份验证的多个 Firebase 数据库
我构建了一个网络平台，允许用户使用一个用户帐户注册多个网络应用程序。每个应用程序都有自己独立的 Firebase 数据库。是否可以使用 firebase 身份验证并在各种 firebase 数据库之间
firebase - 如何在 Firebase 控制台之外发出预定的 Firebase 云消息传递通知？
在 Firebase 控制台内的 Cloud Messaging View 下，用户可以创建测试通知。此功能还允许您安排通知将发送到一个设备或一组设备的时间。是否可以创建和发送预定使用 Fireb
firebase - 有没有办法在 firebase 控制台中查看每个 firebase 函数的调用次数？
我们正在为我们最近的项目使用 firebase 平台。我们最近推出并一直在监控使用情况。我可以在 firebase 控制台中看到 firebase 调用的总数，但找不到查看每个函数调用次数的方法。
firebase - Webpack + Firebase : Disable parsing of Firebase
我正在开发一个使用 Webpack 捆绑模块的 Web 应用程序。无论出于何种原因，在应用程序中引入 Firebase 都会导致 Webpack 抛出错误。当 Webpack 尝试加载 Firebas
firebase - 无法在新的 Firebase 控制台中联系 Firebase 支持
我无法在 firebase 控制台中提交支持请求。登录 Firebase 控制台导航至 https://firebase.google.com/support/contact/troublesho
firebase - 如何卸载 Firebase CLI (firebase-tools)
我安装 Firebase CLI (firebase-tools) https://github.com/firebase/firebase-tools通过此代码: curl -sL firebase
firebase - 无法解决:com.google.firebase:firebase
在我的应用程序中，我尝试使用Firebase crash10.2.1，但无法获得编译的好处。我不断收到消息: 'Failed to resolve:com.google.firebase:fireba
firebase - 将注册用户从一个 Firebase 应用转移到另一个 Firebase 应用
我的 firebase 应用有一个注册用户列表。这些是通过电子邮件和密码身份验证创建的。我想将 Firebase 数据和用户列表传输到另一个 Firebase 应用。传输 firebase 数据很
firebase - 单个整数作为 firebase 中的键(Firebase 数组行为)
如果我将数据插入到 firebase 中的 node/a/0 中。结果将把a视为数组a[0]。同样，如果我在 node/a/1 中设置数据，第一个数组将变为 null "a" : [
firebase - 如何使用具有注册电子邮件的 Firebase 身份验证来模拟 Firebase 数据库规则
我是 Firebase 新手，我正在尝试 Firebase 数据库规则和 Firebase 身份验证。我尝试使用 firebase 身份验证来执行 firebase 数据库规则。因此，我创建了一封
firebase - 从 Firebase 存储与 Firebase 托管访问文件？
所以场景如下: 当我从 Firebase 存储访问文件时: 我从存储桶获取文件(.html、.png、.zip 等)(尺寸较小，不超过 2mb)。将该文件存储在我的本地存储中，这样应用就不需要再次下

首页

博学

6Ren·AI

商城

Firebase 用户枚举攻击