登录接口防攻击 02

最新推荐文章于 2024-02-23 16:51:18 发布
最新推荐文章于 2024-02-23 16:51:18 发布
阅读量300 收藏
点赞数
分类专栏: java 文章标签: 防攻击 登录攻击 防黑客攻击

可以参考前一篇博客:http://hw1287789687.iteye.com/blog/2215776

 

我们先考虑一种机器自动攻击的情形:

比如攻击者通过程序,每10秒钟访问登录接口,并且用户名和密码都一样,当然密码是错误的.

如何防止这种攻击呢?

方案一:

(1)登录失败,则开始计数;

(2)判断失败次数是否超过10(次数可以定制),若超过,则直接返回response code为401(无权访问)

,若没有超过,继续访问数据库进行登录验证,登录失败则失败次数加1

(3)登录失败,判断与之前登录失败的密码是否一致,若一致,则失败次数加1;若不一致,则执行(1);



 

 

那么有个问题:

判断失败次数是否超过10,则直接返回response code为401,万一修改了密码,原错误密码是正确的怎么办呢?

判断超过10次的基础上,再判断与上次登录相距多久,如果超过1个小时,则仍然查数据库

 

(4)若登录成功,则失败次数减1

 

 

注意:每个错误密码都对应自身失败的次数,而不是所有错误登录一起计算的.

前10次,还是会查询数据库.后面的登录(相同的错误密码)就不会查询数据库了,什么也不做直接设置response 的status为401.

 

为什么要处理?有人说就让它登录呗,反正密码是错误的,又登录不进去!

但是这些无效的请求依然会访问数据库,无谓地增加系统负担,所以必须要考虑应对方案.

 

方案二:

相同的错误密码,连续登录3次之后,后面的登录,直接匹配用户名和密码是否一致,若一致,则直接返回登录失败信息,不一致才真正访问数据库.

(a)登录失败,判断是否有该错误密码的记录,若有,则失败次数+1;若没有则增加记录,错误次数设置为1;

(b)判断失败次数是否超过3,超过则直接返回登录失败,不查询数据库;否则,查询数据库;

(c)若修改密码,则清除该用户所有的错误密码记录.

可以参考前一篇博客:http://hw1287789687.iteye.com/blog/2215776

调皮的芋头
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
web安全措施.你写的WEB API接口如何预黑客攻击_webservice接口实例
12-25
web安全措施.你写的WEB API接口如何预黑客攻击 现在WEB开发都是动静分离 后端编写API接口 那如何黑客攻击你的HTTP API接口
登录接口攻击 01
hw1287789687的专栏
05-31 262
  如何登录接口攻击呢? 技术架构是这样的(不能暴露公司机密,所以下面接口比较简陋): 网页调用登录接口A,登录接口A 实际上是调用接口B进行业务逻辑. 所以真正干活的是接口B,接口A 只是进行了转发和包装. 如果要攻击,只能攻击接口A,因为接口B没有暴露,也不公开. 那么如何接口A 被攻击呢? 比如不断的访问接口A,每秒钟访问10次? 这样很容易导致服务器扛不住宕机....
登录接口攻击 03
weixin_34355559的博客
05-10 87
接着前两篇日志 http://hw1287789687.iteye.com/blog/2215776 http://hw1287789687.iteye.com/blog/2216493 我之前遇到过忘记路由器密码的情况,我在192.168.1.1的登录界面尝试可能的密码,希望能够猜中,但是输错3次之后,就必须等待5分钟,我们可以借鉴这种策略. ...
API接口止参数篡改和重放攻击
weixin_45915769的博客
03-08 2085
API重放攻击(Replay Attacks)又称重播攻击、回放攻击。他的原理就是把之前窃听到的数据原封不动的重新发送给接收方。HTTPS并不能止这种攻击,虽然传输的数据是经过加密的,窃听者无法得到数据的准确定义,但是可以从请求的接收方地址分析出这些数据的作用。比如用户登录请求时攻击者虽然无法窃听密码,但是却可以截取加密后的口令然后将其重放,从而利用这种方式进行有效的攻击。 所谓重放攻击就是攻击者发送一个目的主机已接收过的包,来达到欺骗系统的目的,主要用于身份认证过程,重放攻击是计算机世界黑客常用的攻击
如何接口被恶意攻击
douxingpeng1的博客
03-17 2822
1、对于异常用户 切面处理异常,把异常用户的ip插入到数据库,当用户的请求异常次数到达一定程度时,拉入很名单 每次请求去查询是否在黑名单中 2、对于一分钟请求次数,接口限制 每次请求判断上次是否在一分钟内,如果在一分钟内则+1次 如果超过一分钟则清0 如果一分钟请求超过一定次数,就会直接限制请求,24小时候定时解绑 ...
API接口手工御被恶意调用和接口攻击
03-29
通常情况下的api接口护有如下几种: 使用HTTPS止抓包,使用https至少会给破解者在抓包的时候提高一些难度 接口参数的加解密,通过md5加密数据+时间戳+随机字符串(salt),然后将MD5加密的数据和时间戳、原数据均...
Spring Boot接口设计篡改、重放攻击详解
08-25
**基于timestamp的重放攻击** 止重放攻击的关键在于限制请求的有效性,确保请求只能在特定时间内执行一次。以下是一种基于timestamp的方案: 1. **添加timestamp**:每次客户端发起HTTP请求时,需在headers中...
水星路由器的病毒攻击设置方法
10-01
以下将详细介绍如何通过水星路由器设置病毒攻击,特别是针对ARP病毒的护措施。 首先,要开启ARP御功能。登录到水星路由器的管理界面后,可以在左侧导航栏找到“安全设置”选项,并进入“ARP御”。这里提供...
攻击 易语言端口转发源码
06-01
在“攻击 易语言端口转发源码”这个主题中,我们将深入探讨易语言实现端口转发的基本原理、代码结构以及可能涉及到的相关知识点。 端口转发的核心原理是利用TCP或UDP协议栈的工作机制,监听本地的一个端口,当...
接口如何设计才能保证安全,攻击
微信公众号:一颗向上的草莓
06-03 1752
说明:在实际的业务中,难免会跟第三方系统进行数据的交互与传递,那么如何保证数据在传输过程中的安全呢(窃取)?除了https的协议之外,能不能加上通用的一套算法以及规范来保证传输的安全性呢? 下面我们就来讨论下常用的一些API设计的安全方法,可能不一定是最好的,有更牛逼的实现方式,但是这篇是我自己的经验分享. 本章目录: 1. token简介 2.timestamp 简介 3.sign 简介 4.止重复提交 5. 使用流程 6. 代码分享 一:toke...
信息安全之公钥私钥加密解密
tangweiee的博客
10-13 8612
信息安全之公钥私钥加密解密公钥与私钥(是通过一种算法得到的一个密钥对,公钥是密钥对中公开的部分,私钥则是非公开的部分。公钥通常用于加密会话密钥、验证数字签名,或加密可以用相应的私钥解密的数据。通过这种算法得到的密钥对能保证在世界范围内是唯一的。使用这个密钥对的时候,如果用其中一个密钥加密一段数据,必须用另一个密钥解密。比如用公钥加密数据就必须用私钥解密,如果用私钥加密也必须用公钥解密,否则解密将不会
服务老是被攻击,如何设计一套比较安全的接口访问策略?
lisheng19870305的专栏
07-28 667
大家好,我是老王,最近接手了一个项目,兴致勃勃的准备大干一场,结果一顿渗透测试下来我都快傻了。什么重放攻击,请求体篡改,越权攻击,都整上来了,好嘛,我都不清楚这个项目这半年是怎么度过的。不知道大家公司对接口安全这块是怎么考量的,但是对于面向公网提供服务的产品来说,这个可以说是很致命的了。那么,该如何设计一套比较安全的接口访问策略呢?...
【编程开发】之登录攻击的方案
王廷云的博客
10-09 407
场景 使用账号密码登录的时候,有可能会出现用户恶意频繁登录攻击,比如写个登录脚本不断地请求登录操作,最后可能造成服务器压力过大崩溃。 解决的办法 图片验证码: 每次登录操作之前需要填写图形验证码上的验证码,并且每次的登录请求操作使用的验证码都是不一样的。所以这里需要设置一个图形验证码的过期时间。 滑动验证: 每次登录操作之前需要进行滑动操作,滑动操作有阿里的滑动验证和滑动拼块验证。 ...
接口如何止被刷,教你有效的8种方法
最新发布
m0_66326520的博客
02-23 2169
现在越来越多的应用程序和服务都提供了API接口,使得开发人员可以方便地与这些应用程序和服务进行交互。但是,由于API接口是公开的,因此很容易被黑客利用,对系统造成损害。为了确保API接口的安全性,我们需要采取一些措施,例如使用签名机制和限流机制来增强接口的安全性。在本文中,我们将介绍如何使用PHP实现这些措施,并止API接口被恶意刷。
服务老是被攻击?教你设计一套安全的接口访问策略,非常稳健
02-07 955
服务老是被攻击?教你设计一套安全的接口访问策略,非常稳健!
HTTP攻击实战以及御手段
爱吃仡坨的Blog
08-07 1084
http攻击实战以及简略的御手段
登录接口,需注意的问题
xiao987368的博客
12-01 3270
接口传参过来得进行1.止sql注入和止xss攻击(通过过滤消毒解决)2.验证签名(由MD5加密的签名,必要的情况加盐--key值使签名复杂化)。接口 返回信息一般3种:1.错误码(00为正确码)2.请求接口(一些错误信息或正确信息,如:非法请求,请求成功等等。。)3.返回参数(要返回的参数)。登录接口得返回一个登录凭证:由用户名,用户id,当前时间,手机设备号(由前端返回的参数)组成的数组。
登录重放攻击
u014538198的专栏
11-29 4840
现在的应用系统中,大部分密码存储都是采用md5加密后存储,常用的登录基本流程如下:   1、前端web页面用户输入账号、密码,点击登录。 2、请求提交之前,web端首先通过客户端脚本如javascript对密码原文进行md5加密。 3、提交账号、md5之后的密码 4、请求提交至后端,验证账号与密码是否与数据库中的一致,一致则认为登录成功,反之失败。   上述流程看似安
如何设计一个安全的登录接口
Java技术栈,分享最主流的Java技术
09-16 2137
Java技术栈www.javastack.cn关注阅读更多优质文章作者:哒哒哒哒打代码链接:juejin.im/post/6859214952704999438前言大家学写程序时,第一行...
H3C网络设备的ARP攻击御策略
8. ARPIP报文攻击功能:止通过ARP协议发起的IP报文攻击。 此外,H3C的解决方案还涵盖了不同场景下的典型组网应用,包括监控方式和认证方式,以适应不同环境的需求。例如,在网吧解决方案中,可以通过严格的用户...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值