测试出来的一些安全性bug 但是看不明白
各位帮我看看应该从什么方面解决
1.
原话是：登录错误信息凭证枚举。
我网上查了一下是
"当用户输入无效的用户名和无效的密码时，应用程序会分别生成不同的错误信息。通过利用该行为，攻击者可以通过反复实验（蛮力攻击技术）来发现应用程序的有效用户名，再继续尝试发现相关联的密码，这样会得到有效用户名和密码的枚举，攻击者可以用来访问账户"

2. 会话标识未更新

------解决方案--------------------
1、验证码，像CSDN登录的那样可以解决吧。
------解决方案--------------------
我也需要！
------解决方案--------------------
期待高手。
------解决方案--------------------
1.多此一举...例如(伪码)...

C# code

if(name!=auth.Name){
//抛出登录名不匹配异常或显示登录名不匹配验证信息
}
if(passwd!=auth.Password){
//抛出密码不匹配异常或显示密码不匹配验证信息
}

------解决方案--------------------
限制一段时间内登录次数

------解决方案--------------------
六楼的正解了，结贴吧。

总之不要多此一举的给客户端返回详细的错误信息。