首頁?>?知識?資訊?>?暴力破解后的問題的解決辦法。?>?正文

暴力破解后的問題的解決辦法。

2016/1/21 0:00:00 · 稿源:傳誠信

一.1.1 ?暴力破解

問題描述:經(jīng)測試發(fā)現(xiàn),網(wǎng)站前臺登陸處未對登陸失敗次數(shù)進(jìn)行限制,導(dǎo)致可進(jìn)行暴力破解進(jìn)行賬號及口令猜測。

受影響的URL:http://www.94883.cn/industry

驗證過程:

1 ?未限制登錄次數(shù)導(dǎo)致可暴力破解

風(fēng)險程度:【輕度】

風(fēng)險分析:攻擊者一般會使用自動化腳本組合出常見的用戶名和密碼,即字典,再結(jié)合軟件burpsuite的intruder功能進(jìn)行暴力破解。

解決辦法:

1)?在用戶登錄中使用驗證碼可以防御暴力破解攻擊,驗證碼應(yīng)從以下方面保證其安全性:長度不低于4位、避免使用容易被程序自動識別的驗證碼,驗證碼不應(yīng)返回到客戶端;

2)?及時修改用戶的默認(rèn)或缺省口令;

3)?限制同一用戶的登錄錯誤次數(shù),防止暴力破解;

4)?使用加密方式傳輸用戶名和密碼;對于行內(nèi)系統(tǒng)建議使用行內(nèi)統(tǒng)一用戶認(rèn)證組件UASS。

  • 相關(guān)推薦
  • 大家在看
關(guān)鍵詞:
熱文
  • 熱門
  • 最新
客戶服務(wù)
咨詢熱線

010-62199213

24小時咨詢熱線

139-1050-5354