首頁?>?知識(shí)?資訊?>?暴力破解后的問題的解決辦法。?>?正文

暴力破解后的問題的解決辦法。

2016/1/21 0:00:00 · 稿源:傳誠信

一.1.1 ?暴力破解

問題描述:經(jīng)測試發(fā)現(xiàn),網(wǎng)站前臺(tái)登陸處未對登陸失敗次數(shù)進(jìn)行限制,導(dǎo)致可進(jìn)行暴力破解進(jìn)行賬號及口令猜測。

受影響的URL:http://m.jzztb.org.cn/industry

驗(yàn)證過程:

1 ?未限制登錄次數(shù)導(dǎo)致可暴力破解

風(fēng)險(xiǎn)程度:【輕度】

風(fēng)險(xiǎn)分析:攻擊者一般會(huì)使用自動(dòng)化腳本組合出常見的用戶名和密碼,即字典,再結(jié)合軟件burpsuite的intruder功能進(jìn)行暴力破解。

解決辦法:

1)?在用戶登錄中使用驗(yàn)證碼可以防御暴力破解攻擊,驗(yàn)證碼應(yīng)從以下方面保證其安全性:長度不低于4位、避免使用容易被程序自動(dòng)識(shí)別的驗(yàn)證碼,驗(yàn)證碼不應(yīng)返回到客戶端;

2)?及時(shí)修改用戶的默認(rèn)或缺省口令;

3)?限制同一用戶的登錄錯(cuò)誤次數(shù),防止暴力破解;

4)?使用加密方式傳輸用戶名和密碼;對于行內(nèi)系統(tǒng)建議使用行內(nèi)統(tǒng)一用戶認(rèn)證組件UASS。

  • 相關(guān)推薦
  • 大家在看
熱文
  • 熱門
  • 最新
客戶服務(wù)
咨詢熱線

010-62199213

24小時(shí)咨詢熱線

139-1050-5354