登录接口防攻击 02

hw1287789687

浏览: 5181140 次
性别:
来自: 北京

最近访客更多访客>>

zcm1205

morelily

beisika10368

jxjyzzc

博主相关

博客

微博

相册

留言

关于我

文章分类

社区版块

存档分类

博客分类：

Java

防攻击登录攻击防黑客攻击

可以参考前一篇博客:http://hw1287789687.iteye.com/blog/2215776

我们先考虑一种机器自动攻击的情形:

比如攻击者通过程序,每10秒钟访问登录接口,并且用户名和密码都一样,当然密码是错误的.

如何防止这种攻击呢?

方案一:

(1)登录失败,则开始计数;

(2)判断失败次数是否超过10(次数可以定制),若超过,则直接返回response code为401(无权访问)

,若没有超过,继续访问数据库进行登录验证,登录失败则失败次数加1

(3)登录失败,判断与之前登录失败的密码是否一致,若一致,则失败次数加1;若不一致,则执行(1);

那么有个问题:

判断失败次数是否超过10,则直接返回response code为401,万一修改了密码,原错误密码是正确的怎么办呢?

判断超过10次的基础上,再判断与上次登录相距多久,如果超过1个小时,则仍然查数据库.

(4)若登录成功,则失败次数减1

注意:每个错误密码都对应自身失败的次数,而不是所有错误登录一起计算的.

前10次,还是会查询数据库.后面的登录(相同的错误密码)就不会查询数据库了,什么也不做直接设置response 的status为401.

为什么要处理?有人说就让它登录呗,反正密码是错误的,又登录不进去!

但是这些无效的请求依然会访问数据库,无谓地增加系统负担,所以必须要考虑应对方案.

方案二:

相同的错误密码,连续登录3次之后,后面的登录,直接匹配用户名和密码是否一致,若一致,则直接返回登录失败信息,不一致才真正访问数据库.

(a)登录失败,判断是否有该错误密码的记录,若有,则失败次数+1;若没有则增加记录,错误次数设置为1;

(b)判断失败次数是否超过3,超过则直接返回登录失败,不查询数据库;否则,查询数据库;

(c)若修改密码,则清除该用户所有的错误密码记录.

可以参考前一篇博客:http://hw1287789687.iteye.com/blog/2215776

查看图片附件

3
顶

1
踩

分享到：

Java获取用户ip | 判断是否是手机访问及手机操作系统

2015-06-03 01:18
浏览 4039
评论(4)
分类:编程语言
查看更多

4 楼 hw1287789687 2015-06-04

czb20100314 写道

我有个问题请教下，如果黑客知道了最高权限用户名，然后故意输入十次错误密码，那到时候真正的管理员输入，怎么办？

黑客在错误登录10次之后,后面的登录就不会访问数据库了,这样就可以避免数据库频繁的无用访问了.
真正的管理员因为知道密码,所以登录的时候,没有匹配的错误密码,即失败登录次数为0.那么仍然会访问数据库进行验证,即可登录成功.
针对方案一的部分核心代码,使用redis

 /***
     * 登录失败
     *
     * @param account
     * @param pwd
     */
    private void loginFailed(String account, String pwd) {
        RedisHelper redisHelper = RedisHelper.getInstance();
        String oldPassword = redisHelper.getKeyCache(account, REDIS_KEY_FAILED_PWD);
//        Map map=redisHelper.getAllKeyCache(account);
        if (oldPassword == null || oldPassword.equals("")) {
            redisHelper.saveKeyCache(account, REDIS_KEY_FAILED_PWD, pwd);
            redisHelper.saveKeyCache(account, REDIS_KEY_FAILED_COUNT, "1");
        } else {//
            String failedAccount = redisHelper.getKeyCache(account, REDIS_KEY_FAILED_COUNT);
            if (pwd.equalsIgnoreCase(oldPassword)) {
                redisHelper.saveKeyCache(account, REDIS_KEY_FAILED_COUNT, String.valueOf(Integer.parseInt(failedAccount) + 1));
            } else {
                redisHelper.saveKeyCache(account, REDIS_KEY_FAILED_PWD, pwd);
                redisHelper.saveKeyCache(account, REDIS_KEY_FAILED_COUNT, "1");
            }
        }
    }

    /***
     * 登录成功
     *
     * @param account
     */
    private void loginSuccess(String account) {
        RedisHelper redisHelper = RedisHelper.getInstance();
        redisHelper.clearKeyCache(account, REDIS_KEY_FAILED_PWD);
        redisHelper.clearKeyCache(account, REDIS_KEY_FAILED_COUNT);
    }

3 楼 czb20100314 2015-06-04

我有个问题请教下，如果黑客知道了最高权限用户名，然后故意输入十次错误密码，那到时候真正的管理员输入，怎么办？

2 楼 hw1287789687 2015-06-03

wengcang 写道

你的计数不是放到数据库么？其次，个人觉得没有人会使用相同的密码一直访问你的系统的，黑客攻击肯定是遍历字典，这样，你系统无情中又多了处理逻辑，我们是失败2次增加验证码就可以了

计数放到redis中.
客户端登录接口因为考虑到后台登录,所以没有图形验证码

1 楼 wengcang 2015-06-03

发表评论

您还没有登录,请您登录后再发表评论

最近访客更多访客>>

博主相关

文章分类

社区版块

存档分类

最新评论