??
攻擊者通過利用用戶的弱口令,進行用戶密碼強制破解,例如123456、000000、admin等原始基礎的密碼,來進行猜測并嘗試登陸,這是比較常見的網站業務邏輯漏洞。
現存有許多工具能自行模擬破解,密碼庫中存在大量常用密碼,通過自動化大大縮短破解的時間。如果網站在最初設計中沒有相應措施的話,后期會給服務器后端帶來很大壓力。
許多網站沒有設置任何針對這方面的防護,比如限制用戶登錄次數、短信驗證碼等,使得暴力破解變得更加簡單。當然,即使有驗證,也有許多攻擊軟件可以繞過從而破解,但有了驗證之后,在一定程度上可以增加破解的難度,提高安全程度。
如果出現了這類邏輯漏洞,應該怎么進行修復呢?
首先要設計好IP鎖定,當攻擊者嘗試登陸用戶賬號的時候,可以設定一分鐘登陸了多少次,如果嘗試登陸了多次,可以進行IP鎖定。如果這個賬戶進行密碼找回等特殊操作,并且進行了多次,就可以封掉IP。
再者,在驗證碼識別中,增加語言、特殊字符或拼圖等需要人手動的驗證碼,如果僅適用短信的話,設定一分鐘只能收取一次,給驗證碼生效時間設定期限,可以是1分鐘,也可以是3分鐘,無論是否使用,這個碼在時間過后都會過期。
