,而專案中確實存在該漏洞,現已修復,在這裡做總結如下:
1.1、攻擊原理
正常登入請求驗證通過,可以利用burpsuit測試工具攔截該登入請求(即抓取了這個「登入請求資料報」),然後通過burpsuit工具可以修改這個「登入請求資料報」的引數,即可以把http請求裡的某個單獨的引數設定為變數,來進行替換,然後該工具會批量傳送登入請求呼叫後台系統,因此可能會暴力破解到登入賬戶密碼(即通過增加乙個字典來實現自動化的攻擊)。
圖1.1.1 暴力破解登入密碼案例
1.2、修復方案
之前之所以有漏洞問題是因為「滑動驗證」和「帳號密碼」是分開在不同的類和方法中驗證的,暴力破解的時候可以繞過「滑動驗證」直接呼叫「登入介面」進行登入帳號和密碼的批量驗證。
針對於此,修復該漏洞的過程如下:
1、將「滑動驗證」整合到和「帳號密碼」同乙個方法中。因此,在傳送校驗帳號密碼的請求中,還需要傳遞滑動驗證的值作為引數進行校驗;
2、在校驗完該值後,要將session中的滑動驗證值立即更新,這樣,後面burpsuit工具的批量發包請求帶的滑動值就不能驗證通過了,也就不會批量校驗帳號和密碼了。因為這時候每乙個登入請求都是不同的滑動值,而暴力破解的時候,它複製過來的請求的滑動值是固定的。
圖1.2.1 解決暴力破解登入密碼實際**
linux防暴力破解登入密碼
上兩個星期發生了一件事情,讓我感覺到安全是多麼的重要,因為租了一天學生機linux作為伺服器,沒想到用了沒兩個月就出現問題了。給外國黑客ssh暴力破解,然後安裝挖礦病毒,導致cpu滿了,遠端都鏈結不上,只能重灌系統。檢視 var log secure 檔案可以看到很多認證失敗的failure的ip登...
django防暴力破解 防多點登入
什麼是暴力破解 註冊時增加口令強度檢查 使用者登入時增加口令強度檢查 修改密碼時增加口令強度檢查 使用正規表示式限制使用者在連續時間段內連續試錯次數,超過時賬戶鎖定一段時間後自動解除鎖定使用memcache,設定登入快取,key為使用者名稱,base64.b64encode username.enc...
暴力破解zip,rar密碼
在此只論數字密碼 zip檔案,python自帶包 zipfile import zipfile def extractfile zipfile,password try zipfile.extractall pwd bytes password,utf8 print 壓縮包密碼是 password ...