我正在嘗試重新構建一個小型的在線門戶,它有一些繼承安全漏洞。最明顯的原因是由於網絡架構和負載平衡器,應用程序無法訪問請求的IP地址。通常我會堅持要求來自每個唯一地址的請求數量受到限制,但鑑於某些人可以訪問的瘋狂範圍可能不是最終的最佳解決方案。確保HTTPS互聯網門戶無法訪問用戶IP地址?
我可以限制平衡器每個地址打開連接的數量,但它仍然讓我暴露在暴力。
很顯然,我對n次嘗試後鎖定帳戶感到猶豫不決,因爲這會造成任何合法用戶的不便,但它看起來像實現這一點的幾種方式之一。
簡而言之,爲每個用戶分配一個唯一的ID並簡單地將它們跳轉到HTTP連接以捕捉X-Forwarded-For標題,然後將它們跳轉回HTTPS,但似乎它可能是一個糟糕的選擇MITM可以輕易地攔截這個會話來劫持會話。 IT人員怎麼處理這個限制?
附加:似乎正在使用的負載平衡器將允許您節制每秒連接數。這將有所幫助,但仍可能導致一段時間內可疑的無效請求數量。然而現在看來時間已成爲我們可以使用的一個因素