0
我有一個運行在亞馬遜上的實時彈簧web應用程序,我最近發現來自各種IP的登錄攻擊。到目前爲止,沒有任何東西被妥協,因爲登錄系統足夠安全,具有複雜的passowrds,並用鹽編碼等。 但是,我想阻止這一點。防止登錄攻擊我的春天的web應用程序
日誌顯示的一件事是,攻擊者以某種方式能夠到達我的服務類(只有authenticictiontion manager)繞過我的登錄頁面。我沒有登錄的特殊網址,但是如何在不通過登錄jsp的情況下調用身份驗證管理器/服務等?我可以看到我的身份驗證服務類(實現UserDetailsService)的loadUserByUsername()方法的日誌記錄。 任何幫助將不勝感激。
由於進行短信確認,我找到了答案,他們是如何登錄。按照你所說的做一個http post,類似'curl --data「j_username = xxx&j_password = yyy」http:// www.mysecureurl.com/j_spring_security_check「。將在新線程中詢問後續問題。 – Supra