漏洞解决方案-口令暴力猜解

最新推荐文章于 2024-03-10 11:45:00 发布
最新推荐文章于 2024-03-10 11:45:00 发布
阅读量4.8k 收藏 3
点赞数 4
分类专栏: 安全 文章标签: 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/baidu_35488871/article/details/108233537
版权

漏洞解决方案-口令暴力猜解

前置知识

在当今很多地方以用户名和口令作为鉴权的世界,口令的重要性就可想而知了。口令就相当于进入家门的钥匙。系统如果没有防暴力猜解的机制,很容易被他人使用工具暴力破解账号密码。

威胁描述:
如果口令被他人猜到或者破解,他人即可登录系统,进行非授权操作,造成不必要的损失。
涉及功能点:
登录

修复方案

  1. 涉及身份认证的的功能场景中,对身份认证机制进行有效的控制,提示信息模糊化(例如:用户名或密码错误);
  2. 对尝试次数阈值进行控制,超过阈值进行限制;
  3. 使用图片验证码防止暴力猜解,图片验证码成功使用后应立即自动重置或失效。
    参考业务流程图如下:
    在这里插入图片描述

代码参考

安全开发实例:

  1. 生成图形验证码参考代码。
    代码功能:随机生成4位的图形验证码,包括字大小写字母、数字;对图形验证码进行底纹干扰、 文本位置调整、文本颜色变换、旋转图片字体。

    Public void code(HttpServletRequest req, HttpServletResponse resp)throws ServletException, IOException {
	resp.setContentType("image/jpeg");//设置响应内容的类型为jpeg的图片
	int width=64;
	int height=40;
	BufferedImage bImg=new BufferedImage(width, height, BufferedImage.TYPE_INT_RGB);
	Graphics g=bImg.getGraphics();
	//背景
	g.setColor(Color.white);
	g.fillRect(0, 0, width, height);
	//字体颜色
	g.setFont(new Font("aa", Font.BOLD,18));
	// 验证码中所使用到的字符
	char[] codeChar = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789".toCharArray();
	String captcha = ""; // 存放生成的验证码
	Random r=new Random();
	for(int i=0; i<4; i++) { //设置长度单位,随机取的个数
		int t=r.nextInt(codeChar.length);// 循环将每个验证码字符绘制到图片上
		int y=10+r.nextInt(20);//上下位置:10~30
		Color c=new Color(r.nextInt(255), r.nextInt(255), r.nextInt(255));
		g.setColor(c);
		g.drawString(codeChar[t]+"", i*16, y);
		captcha += codeChar[t];
	}
	//画干扰线
	for(int i=1; i<8; i++) {
		Color c=new Color(r.nextInt(255), r.nextInt(255), r.nextInt(255));
		g.setColor(c);
		g.drawLine(r.nextInt(width), r.nextInt(height), r.nextInt(width), r.nextInt(height));
	}
	// 将生成的验证码code放入sessoin中
	req.getSession().setAttribute("code", captcha);
	//把图形刷到bImg对象中
	g.dispose();//相当于IO中的close()方法带自动flush();
	ImageIO.write(bImg,"JPEG", resp.getOutputStream());//通过resp获取req的outputStream对象,发向客户端的socket的封装,即写到客户端
}

    效果图如下:
    在这里插入图片描述

  2. 验证图形验证码参考代码:
    代码功能:验证图形验证码内容,验证成功后,重置图形验证码。

    protected void doPost(HttpServletRequest req, HttpServletResponse resp)
throws ServletException, IOException {
// 获取存放在session中的验证码
	String code = (String) req.getSession().getAttribute("code");
// 获取页面提交的验证码
	String inputCode = req.getParameter("code");
	if(code.toLowerCase().equals(inputCode.toLowerCase())) { // 验证码转换为小写,验证图片验证码内容
		new ImageServlect().code(req,resp);   //验证成功后重新调用生成验证码方法,将验证过的验证码重置
checkCode();  //此处根据实际业务,做相应的操作,如验证账号密码、发送短信等
	} else { // 验证失败
        req.getRequestDispatcher("/fail.jsp").forward(req, resp);
	}
}

关注公众号,一起分享实用安全技术,关注安全最新事件,记录工作常见问题,吐槽生活真心操蛋。
在这里插入图片描述

rel~smart
关注
专栏目录
FTP暴力破解登陆漏洞复现(Windows Server 2003)
顾蒅' Home
08-25 6760
FTP暴力破解漏洞复现 0x01 漏洞简述 FTP弱口令,一般指使用FTP的用户的密码长度太短、复杂度不够、仅包含数字、或仅包含字母等,容易被黑客攻击,发生恶意文件上传或更严重的入侵行为。 知道FTP弱口令,可以通过该漏洞获取主机文件系统信息。 0x02 风险等级 漏洞评定结果如下: 评定方式 等级 威胁等级 严重 影响面 广泛 0x03 漏洞详情 FTP是文件传输协议(File Transfer Protocol)的缩写,是用于在网络上进行文件传输的一套标准协议,它工作在 OSI 模型
漏洞解决方案-图形验证码
smart的博客
08-10 5969
漏洞解决方案-图形验证码前置知识修复方案代码参考 前置知识 图形验证码是验证码的一种。验证码(CAPTCHA)是“Completely Automated Public Turing test to tell Computers and Humans Apart”(全自动区分计算机和人类的图灵测试)的缩写,是一种区分用户是计算机还是人的公共全自动程序。可以防止:恶意破解密码、刷票、论坛灌水等,有效防止某个黑客对某一个特定注册用户用特定程序暴力破解、枚举、重放等方式进行不断的操作或枚举猜解。 威胁描述: 图
Tomcat口令猜解工具【Python脚本】
11-10 528
Tomcat 服务器网页部署,登录需用户名/密码,编写了一个简单的Python脚本来测试一些简单的弱口令。 测试环境:Tomcat版本 7.0 登录界面采用basic认证,Base 64加密一下,模拟浏览器进行发包 据测试,每个用户名输入5次错误的密码会锁定用户,想了一些办法,还是没能绕过,这里做个记录,有时间再完善。 目前只能用于简单的弱口令测试 Python脚本如下: ...
漏洞验证的流程与规范
最新发布
qq_44005305的博客
03-10 1891
第一种是报网络安全专业,现在叫网络空间安全专业,主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习,多媒体技术,信息检索、舆情分析等。第二种是自学,就是在网上找资源、找教程,或者是想办法认识一-些大佬,抱紧大腿,不过这种方法很耗时间,而且学习没有规划,可能很长一段时间感觉自己没有进步,容易劝退。③ 了解这些工具的使用场景,懂得基本的使用,推荐在Google上查找。
web—暴力破解
weixin_43916678的博客
02-15 4924
暴力破解”是一攻击具手段,在web攻击中,一般会使用这种手段对应用系统的认证信息进行获取。 其过程就是使用大量的认证信息在认证接口进行尝试登录,直到得到正确的结果。 为了提高效率,暴力破解一般会使用带有字典的工具来进行自动化操作。 理论上来说,大多数系统都是可以被暴力破解的,只要攻击者有足够强大的计算能力和时间,所以断定一个系统是否存在暴力破解漏洞,其条件也不是绝对的。 我们说一个web应用系统存在暴力破解漏洞,一般是指该web应用系统没有采用或者采用了比较弱的认证安全策略,导致其被暴力破解的“可能性”变的
浅谈暴力破解及验证码安全
L_lemo004的博客
09-22 3704
文章目录一、暴力破解及验证码安全注意事项二、C/S架构暴力猜解三、B/S架构暴力猜解四、Hydra安装及使用安装参数说明各种用法实例五、防范暴力猜解六、验证码安全工作原理存在的问题图片验证码的生成可能存在如下问题在验证码的程序实现流程方面可能存在如下问题对抗现状验证码未来可能的主要形式操作验证码安全0x01 验证码可重用0x02 验证码可识别0x03 客户端生成/显示/校验0x04 空验证码绕过0x05 验证码数量有限0x06 是否校验可控0x07 超过次数才开启验证码0x08 验证码可预测身份验证码安全0
红队系列-网络安全知识锦囊(持续更新)
aming小老弟
11-09 1241
AJP13是定向包协议。因为性能原因,使用二进制格式来传输可读性文本。AJP协议:WEB服务器通过TCP连接和SERVLET容器连接。为了减少进程生成socket的花费,WEB服务器和SERVLET容器之间尝试保持持久性的TCP连接,对多个请求/回复循环重用一个连接。一旦连接分配给一个特定的请求,在请求处理循环结束之前不会在分配。换句话说,在连接上,请求不是多元的。这个是连接两端的编码变得容易,虽然这导致在一时刻会有很多连接。
漏洞复现实战:分析FTP服务器弱口令攻击漏洞
# 1.1 什么是漏洞 漏洞是指在软件、系统或网络中存在的安全隐患或错误,可能被攻击者利用来获取未授权的访问或执行恶意操作。根据不同的特征,漏洞可以被分为软件漏洞、配置漏洞等不同类型。漏洞的产生原因主要包括...
验证码的三个常见漏洞和修复方法
09-03
主要介绍了验证码的三个常见漏洞和修复方法,本文讲解了把验证码存储在Cookie中、没有进行非空判断、没有及时销毁验证码三个常见问题和解决方法,需要的朋友可以参考下
漏扫常见(可验证)漏洞复现方法
qq_50854662的博客
04-21 5619
漏扫常见漏洞复现
漏洞验证之vulhub环境搭建
weixin_44311721的博客
07-30 794
vulhub搭建 简介:通俗的讲,vulhub可以提供一个带有特定漏洞的系统。当我们想要验证各种漏洞,但又苦于各种漏洞软件版本寻找和各种环境搭建时。就可以用到vulhub,它“寄生于“docker”容器,运行完整的漏洞靶场镜像。 docker和docker-compose的安装(两者区别参考大佬文章:docker和docker-compose区别) docker安装 apt-ge...
浅析图形验证码安全
2301_77157449的博客
05-11 848
验证码的定义:验证码(CAPTCHA)是“Completely Automated Public Turing test to tell Computers and Humans Apart”(全自动区分计算机和人类的图灵测试)的缩写,是一种区分用户是计算机还是人的公共全自动程序。可以防止:恶意破解密码、刷票、论坛灌水,有效防止某个黑客对某一个特定注册用户用特定程序暴力破解方式进行不断的登陆尝试,实际上用验证码是现在很多网站通行的方式,我们利用比较简易的方式实现了这个功能。
Web安全原理剖析(二十六)——暴力破解漏洞
Phantom03167的博客
01-18 3692
暴力破解漏洞
验证码绕过、密码找回漏洞
qq_58000413的博客
09-30 1070
默认情况下:cookie是真的随机值,你随便写写什么都行,但要符合cookie的位数。cookie代表你的身份 => 它绑定了session。session会话 => 存在服务器上的。2.逻辑绕过:开发写这个验证码校验的时候逻辑产生了问题。抓包,数据包里面根根没有验证码的传参。内网系统、纯ip站点、校验服务有问题。在请求传参中有个空值验证码的参数。验证码:一种区分用户是计算机还是人的全自动程序。看传参中出现几次验证码中的值。验证码绕过、密码找回漏洞 逻辑漏洞。将验证码的传参参数删掉。
验证码漏洞整理
weixin_45106410的博客
11-30 1035
2.1 漏洞的形成 目前大多数的验证码漏洞形成总结起来两点,验证码生成机制或验证机制存在缺陷引发的问题。 2.2 通用设计缺陷 2.2.1 验证码无效 有验证码模块,但验证模块与业务功能没有关联性,此为无效验证,无论输入什么都判断验证码正确,形同虚设。这种情况非常少,一般在新上线的系统中或者一些小站点比较常见。 2.2.2 验证码由客户端生成、验证 验证码由客户端js生成并且仅仅在客户端用js验证,通过抓包看是否有验...
逻辑漏洞-----登录前端验证漏洞
qq_44418229的博客
07-10 3172
逻辑漏洞-----登录前端验证漏洞
Oracle 11g口令过期问题解决方案
Oracle11g口令过期问题的解决方案主要涉及以下几个步骤: 1. **登录DBA账户**:首先,使用具有足够权限的DBA账户(如sysman)登录SQLPLUS,以便进行后续操作。DBA账户可以绕过口令失效的问题,用于管理数据库。 2....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值