代码能力高难hardeditor-pick
登录接口安全评审
让模型审查常见登录接口安全缺陷。
提示词正文
复制后可直接粘贴到模型或内部评测工具。
一个登录接口返回“用户不存在”和“密码错误”两种不同错误,并且失败 10 次后才锁定账号。请从攻击者视角列出风险,再给出不破坏用户体验的改进方案。
参考输出
风险包括枚举用户、撞库、锁定滥用。改进包括统一错误、渐进式限流、风险验证、审计和告警。
评分维度
重点看是否同时考虑安全和体验,而不是只说统一错误。
让模型审查常见登录接口安全缺陷。
复制后可直接粘贴到模型或内部评测工具。
一个登录接口返回“用户不存在”和“密码错误”两种不同错误,并且失败 10 次后才锁定账号。请从攻击者视角列出风险,再给出不破坏用户体验的改进方案。
风险包括枚举用户、撞库、锁定滥用。改进包括统一错误、渐进式限流、风险验证、审计和告警。
重点看是否同时考虑安全和体验,而不是只说统一错误。