1.背景描述:某个登录页面,通过账户和密码进行登录,但是没有验证码。正常情况下用户输入账户和密码进行登录,偶尔可能输入错一两次,这都没事,最终都能正常登录。
2.问题出现:突然有一天登录接口被某个ip不停地请求,分析后可以确定非人为。每次请求由于没有验证码都会去数据库通过账户比较密码,对方可以从中获取你们注册用户账户的一些信息,总之后果也蛮严重的。
3.解决措施:有人会说把这个ip禁了吧,ok,当然可以,你把这个ip禁了,对方可以更换ip继续请求,没事我们还有招,自己写个shell脚本分析一下,自动禁异常ip。对于中小型公司来说能够自己做到这个地步应该算不错了吧。然而问题的本质是密码登录页面缺失验证码,如果你加上一个验证码,验证码是后端随机自动生成的,对方通过脚本请求,登录后台接口可以比较验证码是否正确,验证码如果不正确可以直接返回错误信息,多次请求错误后可以采用一些拉黑或者禁用ip等方式处理,隐患也就不存在了。
4.提问:哈哈哈哈哈,你觉得这样的公司怎么样呢?