登录接口防攻击 01

最新推荐文章于 2023-07-20 15:22:23 发布
最新推荐文章于 2023-07-20 15:22:23 发布
阅读量262 收藏
点赞数
分类专栏: java 文章标签: 登录接口防攻击 防攻击

 

如何防止登录接口被攻击呢?

技术架构是这样的(不能暴露公司机密,所以下面接口比较简陋):

网页调用登录接口A,登录接口A 实际上是调用接口B进行业务逻辑.

所以真正干活的是接口B,接口A 只是进行了转发和包装.

如果要攻击,只能攻击接口A,因为接口B没有暴露,也不公开.

那么如何防止接口A 被攻击呢?

比如不断的访问接口A,每秒钟访问10次? 这样很容易导致服务器扛不住宕机.

比如访问地址是 http://123.21.23.2/user/login?username=whuang&password=zxcvbnm

(1)用户名相同的情况

规则:

(a)连续三次登录失败,则增加图形验证码

例如

 (b)连续6次失败(包括无图形验证码的情况),则无法马上登录,必须等待5分钟

5分钟之后,就可登录,并且没有验证码,然后重复规则(a)

(c)如果连续登录失败24次,则禁止登录,并且提示联系客服.

 

分析:

规则(b)为什么要增加图形验证码,是为了防止程序自动化攻击.要求输入图形验证码,就能够保证执行登录操作的是人(不考虑程序能够读取验证码的情况,若哪位大侠有这种程序,请发给我)

规则(c),连续登录失败24次,就可以当做是程序自动化攻击了,所以直接禁止登录,但是也可能是未知的原因(比如手机app本身的bug登录失败就不断尝试登录)导致真正用户登录失败,所以提示联系客服.

 

我qq邮箱:1287789687@qq.com

 

 

调皮的芋头
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
API接口手工御被恶意调用和接口攻击
03-29
通常情况下的api接口护有如下几种: 使用HTTPS止抓包,使用https至少会给破解者在抓包的时候提高一些难度 接口参数的加解密,通过md5加密数据+时间戳+随机字符串(salt),然后将MD5加密的数据和时间戳、原数据均...
Spring Boot接口设计篡改、重放攻击详解
08-25
**基于timestamp的重放攻击** 止重放攻击的关键在于限制请求的有效性,确保请求只能在特定时间内执行一次。以下是一种基于timestamp的方案: 1. **添加timestamp**:每次客户端发起HTTP请求时,需在headers中...
如何接口被恶意攻击
douxingpeng1的博客
03-17 2822
1、对于异常用户 切面处理异常,把异常用户的ip插入到数据库,当用户的请求异常次数到达一定程度时,拉入很名单 每次请求去查询是否在黑名单中 2、对于一分钟请求次数,接口限制 每次请求判断上次是否在一分钟内,如果在一分钟内则+1次 如果超过一分钟则清0 如果一分钟请求超过一定次数,就会直接限制请求,24小时候定时解绑 ...
你的登录接口,真的安全吗?如何预黑客攻击
hnjsjsac的博客
09-15 344
前言大家学写程序时,第一行代码都是hello world。但是当你开始学习WEB后台技术时,很多人的第一个功能就是写的登录 (小声:别人我不知道,反正我是)。但是我在和很多工作经验较短的同...
服务老是被攻击,如何设计一套比较安全的接口访问策略?
最新发布
欢迎来到我的博客
07-20 159
一、Token与签名大家好,我是小陈,最近接手了一个项目,兴致勃勃的准备大干一场,结果一顿渗透测试下来我都快傻了。什么重放攻击,请求体篡改,越权攻击,都整上来了,好嘛,我都不清楚这个项目这半年是怎么度过的。不知道大家公司对接口安全这块是怎么考量的,但是对于面向公网提供服务的产品来说,这个可以说是很致命的了。那么,该如何设计一套比较安全的接口访问策略呢?一、Token与签名一般客户端和服务端的设计过程中,大部分分为有状态和无状态接口
登录接口攻击 02
hw1287789687的专栏
06-03 300
可以参考前一篇博客:http://hw1287789687.iteye.com/blog/2215776   我们先考虑一种机器自动攻击的情形: 比如攻击者通过程序,每10秒钟访问登录接口,并且用户名和密码都一样,当然密码是错误的. 如何止这种攻击呢? 方案一: (1)登录失败,则开始计数; (2)判断失败次数是否超过10(次数可以定制),若超过,则直接返回response c...
如何止验证码接口被恶意攻击
热门推荐
a19860903的专栏
10-13 2万+
关键词:短信轰炸机 短信接口验证码是网站、App校验用户手机号码真实性的首要途径,在为网站及APP提供便利的同时,手机短信验证功能也会被部分用户和短信轰炸机进行恶意利用。如何才能止被恶意点击呢?如果您是我们的客户,请仔细阅读。 容易被攻击接口:注册时用户输入号码就可直接触发短信!最容易被短信轰炸机利用,只要网站被搜索引擎收录,短信轰炸机就很容易检索到注册页面。   推荐
水星路由器的病毒攻击设置方法
10-01
以下将详细介绍如何通过水星路由器设置病毒攻击,特别是针对ARP病毒的护措施。 首先,要开启ARP御功能。登录到水星路由器的管理界面后,可以在左侧导航栏找到“安全设置”选项,并进入“ARP御”。这里提供...
web安全措施.你写的WEB API接口如何预黑客攻击_webservice接口实例
12-25
记录API的调用日志,监控异常行为,如频繁失败的登录尝试或异常高的请求频率,以便及时发现并应对潜在攻击。 最后,**安全编码和训练** 是御的前线。开发者应该遵循安全编码的最佳实践,了解常见的攻击模式,参加...
攻击 易语言端口转发源码
06-01
在“攻击 易语言端口转发源码”这个主题中,我们将深入探讨易语言实现端口转发的基本原理、代码结构以及可能涉及到的相关知识点。 端口转发的核心原理是利用TCP或UDP协议栈的工作机制,监听本地的一个端口,当...
你的登录接口真的安全吗?反正我们公司的又被攻击
公众号-老炮说Java
09-02 505
点击上方蓝色字体,选择“标星公众号”优质文章,第一时间送达关注公众号后台回复pay或mall获取实战项目资料视频 点击此链接:一套SpringCloud电商项目,拿来即用(附详细教程和文...
接口被恶意攻击解决方法
高山景行,一尘不染
07-19 4067
公司的搜索接口被恶意攻击了,这种人啊真是可恶,解决起来也是麻烦,这个人用的是代理IP,node这边拿不到原始IP,查阅各种资料未找到获取真实IP的方法 方案一 加密方式,用的事md5加密,切记加暗文,否则是能解开的,把搜索内容加密,然后node端再加密,判断是否一样,如果一样则不掉接口,但是这种方法只是解决了黑客搜索内容一样的情况,据公司技术总监推测估计是写了个模拟器随机生成搜索值去搜索这种方...
如何止短信验证码接口登录注册入口被恶意调用攻击?
01-05 1万+
目录前言1、短信验证码是什么?2、为什么要对短信验证码进行护?3、有哪些常见的护手段?4、这些护手段有没有用呢,到底该如何选择?5、结语 前言 最近遇到一个关于止短信验证码被刷的问题,相信很多朋友也遭遇过这个被刷短信的问题。因此,就“止验证码短信被盗刷”作一个总结和分享。 1、短信验证码是什么? 1.短信验证码是什么: 短信验证码是通过发送验证码到手机的一种有效的验证码系统。 某些验证码接入商提供手机短信验证码服务,各网站通过接口发送请求到接入商的服务器,服务器发送随机数字或字母到手机中,由接
登录接口,需注意的问题
xiao987368的博客
12-01 3270
接口传参过来得进行1.止sql注入和止xss攻击(通过过滤消毒解决)2.验证签名(由MD5加密的签名,必要的情况加盐--key值使签名复杂化)。接口 返回信息一般3种:1.错误码(00为正确码)2.请求接口(一些错误信息或正确信息,如:非法请求,请求成功等等。。)3.返回参数(要返回的参数)。登录接口得返回一个登录凭证:由用户名,用户id,当前时间,手机设备号(由前端返回的参数)组成的数组。
接口被恶意IP频繁访问攻击
lvcal_sunday的博客
08-03 1012
最容易被恶意攻击接口一般都是获取短信验证码的接口,除了我们在接口内限制以下内容之外: 标题 说明 限制手机号参数 单个手机号发送短信次数 限制ip 单个ip发送短信次数 限制时间 固定多长时间最多获取一次 认定是被攻击的时候如何从根本上拒绝该IP的访问呢? 背景:(linux centos7 nginx) 思路 实现流程 备注 限制ip对分域名的访问 nginx.conf文件,在分域名配置文件中deny指定ip 效果略差,确实可限制浏览器端的访问 火墙 命
网站接口被恶意攻击怎么办
resilient的博客
09-27 3508
无论网站,还是App目前基本都是基于api接口模式的开发,那么api的安全就尤为重要了。目前攻击最常见的就是“短信轰炸机”,由于短信接口验证是App,网站检验用户手机号最真实的途径,使用短信验证码在提供便利的同时,也成了呗恶意攻击的对象,那么如何才能止被恶意调用呢? 1.图形验证码: 将图形校验码和手机验证码进行绑定,在用户输入手机号码以后,需要输入图形校验码成功后才可以触发短信验证,这样能...
如何止别人恶意攻击调用API接口
resilient的博客
09-27 1万+
1 / 验证码(最简单有效的护),采用点触验证,滑动验证或第三方验证码服务,普通验证码很容易被破解 2 / 频率,限制同设备,同IP等发送次数,单点时间范围可请求时长 3 / 归属地,检测IP所在地是否与手机号归属地匹配;IP所在地是否是为常在地 4 / 可疑用户,对于可疑用户要求其主动发短信(或其他主动行为)来验证身份 5 / 黑名单,对于黑名单用户,限制其操作,API接口直接返回su...
登录接口攻击 03
hw1287789687的专栏
06-05 162
接着前两篇日志 http://hw1287789687.iteye.com/blog/2215776 http://hw1287789687.iteye.com/blog/2216493   我之前遇到过忘记路由器密码的情况,我在192.168.1.1的登录界面尝试可能的密码,希望能够猜中,但是输错3次之后,就必须等待5分钟,我们可以借鉴这种策略.   连续3次登录失败,就锁定5分钟...
H3C网络设备的ARP攻击御策略
8. ARPIP报文攻击功能:止通过ARP协议发起的IP报文攻击。 此外,H3C的解决方案还涵盖了不同场景下的典型组网应用,包括监控方式和认证方式,以适应不同环境的需求。例如,在网吧解决方案中,可以通过严格的用户...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值