第一,转换视角
以一个用户登录功能为例,当输入错误的用户名登陆时,提示信息为“该用户名不存在”;当用户名正确而密码错误时,提示信息变成“密码输入错误。”对于真实的用户来说非常好,能有效缩小纠错的范围。但是安全测试人员会跳出来:“这个提示信息需要改!敏感信息暴露了!”因为提示信息,恶意的系统使用者可以推测出哪些用户名已经存在于系统中,然后利用这些用户名可以再进行密码的暴力破解,缩小破解的范围。所以,这个信息虽然为合法用户提供了便利,也为不怀好意的系统使用者提供了便利。而往往这种便利为恶意的系统使用者带来的好处远大于给合法用户带来的好处。以一个用户登录功能为例,当输入错误的用户名登陆时,提示信息为“该用户名不存在
