安全测试的老弟说我的系统不抗揍

最新推荐文章于 2024-10-13 17:16:36 发布
最新推荐文章于 2024-10-13 17:16:36 发布
阅读量111 收藏
点赞数
文章标签: 安全 网络 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mxy2404830/article/details/122509141
版权
本文讲述了在安全测试中遇到的三个典型问题:IP伪造、登录未使用验证码以及DDoS攻击,并提供了相应的解决方案。对于IP伪造,通过获取remoteAddr来获取真实IP;登录增加了验证码功能,采用Hutool生成验证码;对于DDoS攻击,通过网关限流和应用限流来防御。
摘要由CSDN通过智能技术生成

Hello,这里是爱 Coding,爱 Hiphop,爱喝点小酒的 AKA 柏炎。

我们部门每次大版本发布,都需要走一道公司的安全测试。

这不最近公司的安全测试标准提高了,我所负责的用户服务被一口气提了10个安全问题。

image-20220109142604456

好家伙,3.25没跑了。

img

不过用户中心是核心的底层业务服务,它的数据安全性与系统稳定性都是极其重要的,发现了Bug,我们只能逐个去修复了。

本文将针对其中比较典型三个问题做分析与解决方案阐述。

image-20220109102353145

一、IP伪造

日常业务开发的过程中,我们可能会需要获取请求接口的用户IP信息。

为了防止黑客通过爆破的方式登陆系统,我将记录每一次用户登陆的IP,在一定时间范围内连续输入错误的用户名或者密码,将锁定IP。此IP在锁定时间内无法再请求登陆接口。

修复前获取IP逻辑

  static String getIpAddr(HttpServletRequest request) {
         if (request == null) {
             return "unknown";
         }
         String ip = request.getHeader("x-forwarded-for");
         if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
             ip = request.getHeader("Proxy-Client-IP");
         }
         if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
             ip = request.getHeader("X-Forwarded-For");
         }
         if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
             ip = request.getHeader("WL-Proxy-Client-IP");
         }
         if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
             ip = request.getHeader("X-Real-IP");
         }
  
         return "0:0:0:0:0:0:0:1".equals(ip) ? LOCAL_IP : ip;
 }
复制代码

从业务功能使用的角度上来看,这段代码没有任何问题,我们能够从HttpServletRequest中获取到报文中的IP数据。

但是发现没有,我们获取的IP数据都是从请求头中获取的,而请求头的所有报文信息都是可以通过报文进行伪造的。只要攻击的黑客弄一个IP池,不断的变化,我们的防爆破机制就失效了。

解决思路

说实话,我当时为了完成这个IP获取需求,上面的代码也是直接百度了一份,发现能用也就用了。

我并不知道Header中获取到的IP值的意思是什么(文中不阐述比如ÿ

最低0.47元/天 解锁文章
柒柒Java
关注
安全测试我的系统不抗
qq_32179907的博客
01-10 298
Hello,这里是爱 Coding,爱 Hiphop,爱喝点小酒的 AKA 柏炎。 我们部门每次大版本发布,都需要走一道公司的安全测试。 这不最近公司的安全测试标准提高了,我所负责的用户服务被一口气提了10个安全问题。 好家伙,3.25没跑了。 不过用户中心是核心的底层业务服务,它的数据安全性与系统稳定性都是极其重要的,发现了Bug,我们只能逐个去修复了。 本文将针对其中比较典型三个问题做分析与解决方案阐述。 一、IP伪造 日常业务开发的过程中,我们可能会需要获取请求接口的用户IP
Gatekeeper:首个开源的DDoS防护系统_开源ddos防御系统gatekeeper-1
2401_84239830的博客
05-16 535
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来,也是很好的温习资料!【完整版领取方式在文末!!内容实在太多,不一一截图了。
HttpServletRequest对象方法的用法
热门推荐
ITSTAR
12-29 9万+
1. 获得客户机信息     getRequestURL方法返回客户端发出请求时的完整URL。     getRequestURI方法返回请求行中的资源名部分。     getQueryString 方法返回请求行中的参数部分。     getRemoteAddr方法返回发出请求的客户机的IP地址     getRemoteHost方法返回发出请求的客户机的完整主机名     get
Spring Cloud Zuul防DDOS攻击
shendixiong的专栏
11-13 2926
前一段时间,公司的短信服务经常收到预警,当时初步猜测我们的短信服务受到了攻击,于是想到了两种实现方案。 方案一: 采用nginx防止DDOS(网上有很多案例可以借鉴) 方案二: 采用Spring Cloud Zuul(网关)层实现防DDOS 因考虑如果使用nginx层进行防DDOS拦截,会导致线上的其他服务受到影响,并且使用nginx拦截无法像Z...
【Java】java获取本机IP
one or only的博客
01-01 273
windows和Mac下获取本机IP的方法 public static String getIpAddress() { String host = "localhost"; //mac系统 if (SystemUtils.IS_OS_MAC_OSX) { try { Enumeration<NetworkInterface> allNetInterfaces = NetworkInter
Dubbo对Spring Cloud:来老弟,我要拥抱你
u010889990的专栏
05-18 1175
项目地址 https://github.com/yinjihuan/kitty-cloud 前言 Kitty Cloud 开源后有以为朋友在 GitHub 上给我提了一个 issues,问为什么项目中要同时集成 Feign 和 Dubbo 两个框架来调用服务。今天就来聊一聊这个问题,然后讲下在 Kitty Cloud 中如何切换使用两种调用方式。 为什么要支持两种协议? 关于支持两种协议,我这个是一个开源项目,主要还是为了让使用者有更多的选择。当然框架本身不是我开发的,我只是使用者而已。 一种协议更统一化,
七年级语文 我的淘气包老弟作文素材(通用).doc
10-13
综上所述,这篇作文素材提供了人物描写、情感表达、情节设置和主题探讨等多个方面的写作启示,对于七年级的学生来,是提升写作能力的良好范例。通过学习和模仿,学生可以提高自己的作文水平,创作出更多富有生活...
桌面小猫老弟aaaaaaaaaaaaaaaa
03-04
标题中的“桌面小猫老弟”可能是指一款名为“Desktop Cat”的桌面宠物软件,而“aaaaaaaaaaaaaaaa”可能是用户输入的个性化昵称或者是由于某种原因未能正确显示的字符。标签“114514”在互联网上常被用作一个无特定...
秃头小老弟儿.exe
07-23
自己根据目前最新的源码修改的可用协议 需要的自行下载谢谢!
SpringBoot生成图形验证码
Muscleheng的博客
12-09 3390
需求:验证码一码一用,验证之后,不管是成功还是失败,都需要重新获取或者刷新二维码。大致思路:后端生成验证码后还需要生成一个UUID与之对应,存储到缓存(记得添加过期时间),把UUID和验证码反给前端,登录时后端使用前端传过来的UUID去缓存获取验证码,然后和前端传过来的验证码对比(一般忽略大小写)。
一看就会的kafka多线程顺序消费【内附Demo哦】
qq_32179907的博客
01-20 6463
Hello,这里是爱 Coding,爱 Hiphop,爱喝点小酒的 AKA 柏炎。 Kafka是一个分布式的,支持多分区、多副本,基于 Zookeeper 的分布式消息流平台,它同时也是一款开源的基于发布订阅模式的消息引擎系统。 kafka如何保证消息不丢失、顺序消费、重复消费? 这三个问题熟不熟悉?是不是在面试的时候经常被问到,在日常工作中也经常碰到? 保证消息不丢失与重复消费其实操作上还是比较简单的。是一些常规的八股文,本文不展开讨论,感兴趣的同学可以给我留言,我单独出一期讲解。 本文将着重与大家讨论K
serverhttprequest 获取访问者ip_反向代理ip的保护措施
weixin_39801879的博客
12-10 1452
反向代理ip服务器会强制将外部网络对要代理的服务器的访问经过它,这样反向代理服务器负责接收客户端的请求,然后到源服务器上获取内容,把内容返回给用户,并把内容保存到本地,以便日后再收到同样的信息请求时,它会把本地缓存里的内容直接发给用户,以减少后端web服务器的压力,提高响应速度。那么该如何保护反向代理ip呢。接下来,小编就为大家讲解:01反向代理服务器反向代理服务器对外的表现是Web服务...
spring cloud gateway 获取请求真实ip
qq_16511223的博客
07-12 1万+
public static String getIpAddress(ServerHttpRequest request) { HttpHeaders headers = request.getHeaders(); String ip = headers.getFirst("x-forwarded-for"); if (ip != null && ip.l...
使用图片验证码进行登录验证
jiaomubai的博客
10-27 3419
需求:后端系统登录时使用图片验证码验证登录 效果: 使用 4 位数字加字母组合验证码登录,相关代码为: import cn.hutool.captcha.CaptchaUtil; import cn.hutool.captcha.LineCaptcha; @RequestMapping("/getCode") public ResultVO getCode(HttpServletRequest request, HttpServletResponse response) { Strin
Springboot 验证码生成和校验,图片格式和base64编码串
默默不代表沉默
09-25 6509
开始敲代码前,先简单介绍下大致的想法实现: 生成验证码: 提供一个接口,这个接口里,我们将生成的验证码存入session,然后将验证码以图片格式或者base64编码串返回给调用端。 校验验证码: 提供一个接口,这个接口里,我们收到调用端传过来的校验码,然后从session取出验证码,两个验证码都全部转小写,进行无大小写区分匹配校验,返回true/flase 。存储验证码: 生成的验证码,在未...
CTFHUB技能树之HTTP协议——响应包源代码
最新发布
weixin_73049307的博客
10-13 449
点击“开始”没有抓取到报文,先看看网页源代码是什么情况。居然直接给出flag了,不知道这题的意义何在。是个贪吃蛇小游戏,看不出来有什么特别的地方。
【OCPP】ocpp1.6协议第5.19 Update Firmware章节的介绍及翻译
qq_53871375的博客
10-11 348
在OCPP 1.6协议中,第5.19章节讨论了“Update Firmware”(更新固件)的功能。这一章节主要描述了如何通过充电站管理系统(CSMS)远程更新充电站的固件,以确保充电站能够支持最新的功能和修复已知的漏洞。该章节描述了通过远程操作更新充电站固件的流程。固件更新是维护充电站软件的一个关键部分,可以提高系统的稳定性、增加功能或修复安全问题。
【Redis安全基线】- 在生产环境中需要注意的安全事项
XuanRan的博客
10-11 1028
Redis是一个高性能的键值存储数据库,但在实际使用中,如果没有适当的安全措施,可能会面临严重的安全风险。本文将介绍几种加强Redis安全性的最佳实践,包括防止弱口令、限制危险命令、修改默认端口等。
解决 Zotero 插件相关问题及常见操作疑难——小老弟 YL分享
总的来,Zotero插件是一款功能强大的文献管理工具,用户在使用过程中可能会遇到各种问题,但只要掌握了相应的解决方法,就可以更加高效地进行文献管理和引用。希望本文介绍的内容能够帮助用户顺利解决Zotero插件...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值