问题:
经过测试,在应用的登录界面,如果账号密码输入错误次数达到三次之后,系统会锁定此账号,直至管理员对账号进行解除锁定。然而此锁定计数并未在服务端进行,而是通过前端JS进行计数,同时超过三次以后,通过JS发起请求数据来锁定此账号。恶意攻击者可以通过截取锁定账号的请求包,进行修改或者丢弃,来达到绕过锁定用户功能的目的。
解决方案:
先判断验证码,再判断用户是否被锁定,再判断用户密码是否正确,都通过了之后,再生成会话session
问题:
经过测试,在应用的登录界面,如果账号密码输入错误次数达到三次之后,系统会锁定此账号,直至管理员对账号进行解除锁定。然而此锁定计数并未在服务端进行,而是通过前端JS进行计数,同时超过三次以后,通过JS发起请求数据来锁定此账号。恶意攻击者可以通过截取锁定账号的请求包,进行修改或者丢弃,来达到绕过锁定用户功能的目的。
解决方案:
先判断验证码,再判断用户是否被锁定,再判断用户密码是否正确,都通过了之后,再生成会话session