6
我正在進行身份驗證並添加蠻力保護。我不知道應該如何繼續。如何防止暴力攻擊?
我應該在15次失敗嘗試某個IP地址後做一個平坦的塊嗎?還是應該將它與用戶名綁定?是否應該有驗證碼門檻和絕對截止?
我應該遵守其他模式嗎?
A
回答
5
如果有人真的在嘗試暴力行爲,那麼他可能有一系列的IP可以使用。你可以做的就是在每次嘗試後都會增加延遲時間,並使用戶名具體。 CAPTCHA可以被打(不同程度),所以放置一個驗證碼門檻,一個「緩慢的事情」門檻,然後阻止它一個小時。
請注意,暴力破解這種方式非常愚蠢,所以我會更擔心攻擊者通過注入或其他方式從數據庫獲取密碼的副本。
相關問題
- 1. 您如何防止對RESTful數據服務的暴力攻擊
- 2. django admin如何防止蠻力攻擊?
- 3. 有沒有人使用過QaasWall來防止暴力攻擊?
- 4. 在Laravel驗證用戶時防止暴力攻擊
- 5. 如何防止XXE攻擊
- 6. 防止類似於PHP的DoS攻擊的蠻力攻擊
- 7. 防止XSS攻擊
- 8. 防止XSS攻擊
- 9. Apache基本認證是否防範暴力攻擊?
- 10. 通過阻止IP地址防止蠻力攻擊
- 11. 如何防止二階SQL攻擊?
- 12. 如何防止重播攻擊?
- 13. 如何防止黑客攻擊tomcat?
- 14. 如何防止以下CSRF攻擊Oauth2?
- 15. jinja2如何防止XSS攻擊?
- 16. PHP:如何完全防止XSS攻擊?
- 17. 鹽如何防止字典攻擊?
- 18. 你如何防止特定CSRF攻擊
- 19. 攻擊MySQL - 以及如何防止它?
- 20. 防止xss攻擊/注入
- 21. 防止數據庫攻擊
- 22. 防止Javascript和XSS攻擊
- 23. CakePHP的:防止XSS攻擊
- 24. Json.Net Wrapper防止Xss攻擊
- 25. 防止MDX注入攻擊
- 26. angularjs防止XSS攻擊
- 27. 防止輸入型攻擊
- 28. 防止重複blockchain攻擊
- 29. AWS Cognito用戶羣如何抵禦暴力破解攻擊
- 30. 防止對MySQL的暴力破解?
這將有助於知道您使用的是什麼類型的系統。 Linux/Windows的? Apache的? – hafichuk
@hafi我提到過網站。我在ASP.Net上運行身份驗證庫,因此平臺取決於誰使用我的庫。 – Earlz
我會更擔心拒絕服務攻擊。 – CodesInChaos