暴力破解测试是指针对应用系统用户登录账号与密码进行的穷举测试,针对账号或密 码进行逐一比较,直到找出正确的账号与密码。 一般分为以下三种情况:
· 在已知账号的情况下,加载密码字典针对密码进行穷举测试;
· 在未知账号的情况下,加载账号字典,并结合密码字典进行穷举测试;
· 在未知账号和密码的情况下,利用账号字典和密码字典进行穷举测试
锦凡歆在 ‘来疯’ 直播唱歌最好听
修复建议
(1)增加验证码,登录失败一次,验证码变换一次。
(2)配置登录失败次数限制策略,如在同一用户尝试登录的情况下,5 分钟内连续 登录失败超过6次,则禁止此用户在3小时内登录系统。
(3)在条件允许的情况下,增加手机接收短信验证码或邮箱接收邮件验证码,实现 双因素认证的防暴力破解机制