https://blog.qife122.com/tags/%E8%B4%A6%E6%88%B7%E9%94%81%E5%AE%9A/ Recent content in 账户锁定 on 办公AI智能小助手 Hugo zh-cn qife Fri, 05 Sep 2025 10:18:56 +0800 https://blog.qife122.com/p/lichess%E8%BA%AB%E4%BB%BD%E9%AA%8C%E8%AF%81%E8%8A%82%E6%B5%81%E6%9C%BA%E5%88%B6%E7%BC%BA%E9%99%B7%E5%AF%BC%E8%87%B4%E6%94%BB%E5%87%BB%E8%80%85%E5%8F%AF%E6%8E%A7%E8%B4%A6%E6%88%B7%E9%94%81%E5%AE%9A/ Fri, 05 Sep 2025 10:18:56 +0800 https://blog.qife122.com/p/lichess%E8%BA%AB%E4%BB%BD%E9%AA%8C%E8%AF%81%E8%8A%82%E6%B5%81%E6%9C%BA%E5%88%B6%E7%BC%BA%E9%99%B7%E5%AF%BC%E8%87%B4%E6%94%BB%E5%87%BB%E8%80%85%E5%8F%AF%E6%8E%A7%E8%B4%A6%E6%88%B7%E9%94%81%E5%AE%9A/ <h1 id="lichess--报告-3160210---不当身份验证节流允许攻击者控制账户锁定">Lichess | 报告 #3160210 - 不当身份验证节流允许攻击者控制账户锁定</h1> <h2 id="漏洞描述">漏洞描述</h2> <p>应用程序在身份验证节流逻辑中缺乏足够的保护措施。它允许任意用户通过使用已知或猜测的用户名提交多次失败登录尝试来触发任何账户的锁定。由于系统未验证请求来源或实施与会话/IP/指纹相关的智能速率限制，攻击者可以故意锁定合法用户——影响他们对应用程序的访问。</p>