如何防止暴力破解?

最新推荐文章于 2024-07-16 06:54:32 发布
最新推荐文章于 2024-07-16 06:54:32 发布
阅读量4.3k 收藏 1
点赞数 1
分类专栏: java开发 文章标签: lua 运维 nginx
大家感觉很有用,请帮忙转发,您的每一次转发就是对我的支持
本文链接:https://blog.csdn.net/qq_30285985/article/details/120190478
版权

        在之前的文章中讨论了暴力破解带来的危害,这里探讨下如何有效的防止暴力破解。当然防止的方式有很多,作为一个java开发,暂且只探讨下如何在java层面友好的防止暴力破解。

验证码

        验证码,是一个很安全有效的防刷策略。但是,目前市面上打码平台越来厉害,简单的二维码,并不能有效的防刷。

image-20210908221117736

        因此,如何研究出容易让人识别,但不容易让机器识别的二维码成为了问题。各个大平台各显神通。其中印象最为深刻的肯定是12306的验证码。

image-20210908221321724

还有目前比较流行的滑块验证码

image-20210908221449031

        等等,主要是为了让人方便,而且让机器难受。只要机器无法自动的识别,那么就无法进行流量无限刷。

ip锁定

        在很多情况下,很多人会有一种自娱自乐的心态自己去写脚本刷流量,例如:某个平台刷浏览量,刷点赞量。可能直接就一个很简单的脚本,用普通的电脑刷,一天也可以刷好几十万。

        这种流量很好识别,1秒中好几十个,肯定不是人为发的请求,可以直接封了其ip。封ip的方式有很多,nginx可以直接通过deny IP进行限制。

        但是,很多时候ip的限制要结合其业务进行实现,可通过openresty+lua实现。网上有很多现成的代码,这里就不多做解释。

[Nginx 通过 Lua + Redis 实现动态封禁 IP]

账号锁定

        ip锁定只能识别业余的刷流量人员,专业的刷流量肯定会有ip代理。这样无法通过ip来识别。

        如果其使用的账号一样,可以通过账号限制其请求频率。可通过Redis+Redisson 实现。Redisson 框架封装好了现成的限流方法,直接调用节可。

叁滴水
关注
专栏目录
基于记录登陆信息的防止网页暴力破解方法
::: 移动互联网时代开发者 :::
11-27 5058
    对黑客方面比较感兴趣的或者是比较熟悉的,应该知道溯雪这个大名鼎鼎的工具吧。它一般可以用来暴力破解一些网络上的密码,比如邮箱的密码等等。原理就是挂上用户自定义字典,反复对一些表单之类进行提交,并分析返回信息,一旦密码正确,就将其记录下来。    对付这种网络上的暴力破解,可以控制用户的固定时间内的访问次数,超过这个次数,给出一些自定义的出错信息或者将其BAN掉就可以了。举个例子,比如现在有一
如何防暴力破解??
王浩然的博客
06-05 8287
如图: 当我们遭到暴力破解ssh服务该怎么办   内行看门道 外行看热闹  下面教大家几招办法:   1 密码足够的复杂,密码的长度要大于8位最好大于20位。密码的复杂度是密码要尽可能有数字、大小写字母和特殊符号混合组成 暴力破解是有位数限制的 当前的密码字典好像最高支持破解20位的密码 ,但也有可能更高 总之通过设置复杂密码 和 定期更换密码能够有效的
Anoton:浏览器的受信任加密笔记。 使用AES-CBC和Argon2加密的密码和输入矢量,以防止暴力破解
03-26
受信任的加密笔记,用于浏览器。 使用AES-CBC和Argon2加密的密码和输入矢量,以防止暴力破解
验证码绕过暴力破解
最新发布
若谷的博客
07-16 1785
本实验中我们针对网站中的登录页面进行暴力破解,通过使用 Burpsuite 工具对网页进行暴力破解,体会学习暴力破解的基本过程,以及学习如何使用Burpsuite 工具。
安全小课堂丨什么是暴力破解?如何防止暴力破解
a38417的博客
04-23 4480
比如一个6位并且全部由数字组成的密码,可能有100万种组合,也就是说最多需要尝试100万次才能找到正确的密码,但也有可能尝试几次后就能找出正确的密码。从理论上来说,只要字典足够庞大,枚举总是能够成功的,也就是说任何密码都能被破解,只是时间的问题。这些方法被称为字典式攻击。一些黑客会整个运行未经删减的词典,并在单词中增加特殊字符和数字,或者使用特殊的单词词典,但这种类型的顺序攻击非常繁琐。这样一来,您就可以针对自己访问的所有网站创建极长且复杂的密码,并且安全地存储,而您只需要记住密码管理器的一个密码就够了。
如何阻止暴力破解
weixin_30312563的博客
08-05 587
所谓的暴力破解,简单来说就是用不同的密码对一个服务器进行多次或无数次的登陆尝试,直到登陆成功为止。 暴力破解的步骤一般为:找到对应的服务器ip地址 →扫描端口号→ 用root或其他用户开始暴力破解服务器的密码 那么如何阻止暴力破解呢? 1、在/etc/ssh/sshd_config中修改默认端口 2、在/etc/ssh/sshd_config中限制登录的用户或组 (A...
如何进行暴力破解
tataaiac的博客
08-16 661
如何使用crunch和hydra进行暴力破解
ssh防止暴力破解和xinetd超级服务的使用
01-29
ssh防止暴力破解和xinetd超级服务的使用,非常不错的,可以配置提升安全
connect-bruteforce:Node.js连接中间件以防止暴力破解
05-02
连接暴力 中间件,通过延迟响应来防止暴力破解。 作为npm软件包提供。 安装 $ npm install connect-bruteforce 用法 查看 测验 $ npm test 执照 参见
win2003防止暴力破解的防范方法
01-11
最近发现我的服务器上 winlogon.exe 和 csrss.exe 这两个进程一直不断的启动、关闭,怀疑是被暴力破解了,我试了下,只要你用远程连到服务器上就会启动这两个进程,关闭远程就会结束这两个进程,说明我的推断是正确...
linux 防止ssh暴力破解的方法
11-13
生产中使用的linux 防止ssh暴力破解的方法有需要的拿去。
服务器主机如何预防 暴力破解
06-14
7. 设置登录限制:限制登录时间和用户数目,防止攻击者通过暴力破解获得服务器的访问权限。 总的来说,预防暴力破解需要从多个方面入手,包括密码安全、认证方式、网络安全等方面,以加强服务器的安全防护能力。
2-5暴力破解防范措施和防范误区
山兔的博客
04-12 1879
暴力破解的措施总结 目前首当其冲的就是使用验证码  设计安全的验证码(安全的流程+复杂而又可用的图形);  在后台启用一些安全的规则,对认证错误的提交进行计数并给出限制,比如连续5次密码错误,锁定2小时;  必要的情况下,使用双因素认证; 聊一聊token对防暴力破解的意义(意外的问题) 一个简单的token的实例 一般的做法: 1.将token以“type=‘hidden’”的形式输出在表单中; 2.在提交认证的时候一起提交,并在后台对其进行校验; 但,由于其token值输出在了前端源码中,容易
如何防止服务器被暴力破解
dexunjiaqiang的博客
01-16 896
如果企业未能采取有效的安全措施来防止暴力破解攻击,导致用户数据泄露或其他严重后果,企业可能会面临法律责任和罚款。因此,企业需要采取有效的预防措施来保护网络安全和隐私,以降低法律责任的风险。企业遭受暴力破解攻击可能会导致用户对企业的信任度降低,从而影响企业的声誉和品牌形象。因此,企业需要采取有效的预防措施来保护网络安全和隐私,以维护企业的声誉和品牌形象。对于不遵守安全策略的员工,应该进行相应的处罚和教育。企业和个人应该采取有效的安全措施来预防暴力破解攻击,并加强自身的安全意识和技能,以确保网络安全和稳定。
暴力破解防范措施和措施总结
热门推荐
北冥有鱼
03-21 1万+
1.设计安全的验证码(安全的流程+复杂而又可用的图形) 在前端生成验证码后端能验证验证码的情况下,对验证码有效期和次数进行限制是非常有必要的,在当前的安全环境下,简单的图形已经无法保证安全了,所以我们需要设计出复杂而又可用的图形,这就是一门学问了,12358的安全验证码对此学问做的就非常好 这样复杂程度高 而用户又能简单识别的验证码就是安全的典范。 2.对认证错误的提交进行计数并给出限制,比如...
如何防止SSH暴力破解
weixin_33989780的博客
12-29 1196
当你查看你的 SSH 服务日志,可能你会发现充斥着一些不怀好意的尝试性登录。这里有 9 条常规建议(和一些个别特殊策略)可以让你的 SSH 会话更加安全。其中有很多办法来阻挡这些密码尝试:01、修改端口vi /etc/ssh/sshd_config#Port22默认端口为22,为了避免被扫描,去掉#,改成一个其他的端口,比如45632保存后重启sshd服务.service...
java防止暴力破解用户名的5种常见方法
qq_42565292的博客
08-08 4527
系统的账号密码如果被破解了,对我们的整个系统都是巨大隐患。 通常情况下,我们会使用以下方法阻止黑客破解账号密码: 1、网站管理入口禁止使用弱口令帐号,建议使用复杂口令,比如:大小写字母与数字的组合,口令长度不小于8位等; 2、验证码在服务端校验; 3、建议采用防高频策略,针对同一IP短时间内的高频请求进行限时锁定; 4、第三方WEB防火墙来加固整个网站系统。 具体操作: 方案1 在前端或后台对密码进行校验 前端校验 java后台校验 方案2 从java后台做一个验证码给前端展示,在java后台进行校验验证码
暴力破解
xiaowoniuwzx的博客
04-16 254
Fail2ban能够监控系统日志,匹配日志中的错误信息(使用正则表达式),执行相应的屏蔽动作(支持多种,一般为调用 iptables ),是一款很实用、强大的软件。 如:攻击者不断尝试穷举SSH、SMTP 、FTP 密码等,只要达到预设值,fail2ban 就会调用防火墙屏蔽此 IP ,并且可以发送邮件通知系统管理员。 功能、特性: 1、支持大量服务:sshd 、apache 、qmail 等 2...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

叁滴水

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值