Web安全技术大作业-限制同一个账户一段时间内登录次数及绕过脚本

最新推荐文章于 2024-08-03 19:01:28 发布
最新推荐文章于 2024-08-03 19:01:28 发布
阅读量5.5k 收藏 2
点赞数
分类专栏: web开发 文章标签: python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35056292/article/details/102781278
版权

文章目录

0x00 介绍

本文介绍的是《Web安全技术》的大作业在线服务限制绕过中,限制同一个账户一段时间内登录次数及绕过脚本的设计与实现。

本模块包含的功能如下:

  1. 限制账户在一段时间内登录失败的次数:如果在该段时间内登录失败的次数超过某个阈值,则禁止登录。这里有几个需要理清楚的:如何定义一段时间,如何确保账户被封禁的状态的更新,一段时间的起始时间的更新等
  2. 绕过慢速撞库的方法,对于同一个账户,可以在短时间内只尝试1次,或者少于网站上限的次数,然后不停的尝试不同的账户,直到尝试完账户字典中所有的账户,再进入下一轮撞库。

0x01 限制账户在一段时间内登录失败的次数

1.1 思路

  1. 数据库新增login_error表,记录账户登录失败的信息:

    • user: auth_user表的外键
    • first_err_time:记录第一次登录失败的时间
    • err_login_times:记录一段时间内登录失败的次数
    • block_state:记录账户是否被封禁,True表示被封禁,False表示账户正常

  2. 思路:

    • 从first_err_time开始的10min内为需要判断当前账户登陆失败次数的时间段。

      ​ |___________________________|

    ​ first_err_time                       first_err_time+10min

    • 在这段时间内,如果失败次数err_login_times超过3次,则block_state置为True

1.2 实现

  1. 代码如下:

def check_account_state(request):
    """
    检查账户是否在封禁状态
    Args:
        request: request对象
    Returns:
        state: 1表示该账户状态正常,0表示该账户还在被封禁状态,-1表示用户名或密码错误
    """
    state = 1
    username = request.POST.get('username', "")
    password = request.POST.get('password', "")
    auth_res = auth.authenticate(username=username, password=password)
    default_first_err_time = datetime.datetime(2019, 10, 24, 12, 30, 11).replace(tzinfo=pytz.timezone('Asia/Shanghai'))
    default_first_err_time = timestamp_to_1970(default_first_err_time)
    curr_time = datetime.datetime.now().replace(tzinfo=pytz.timezone('Asia/Shanghai'))
    curr_time = timestamp_to_1970(curr_time)

    # auth_user表中查找该用户
    user_obj = User.objects.filter(username=username).first()
    if not user_obj:  # 该用户不存在
        state = -1
        return state  # 直接返回True,交给Form进一步判断

    # 据user id查询login_err表
    login_err = LoginError.objects.filter(user=user_obj).first()
    if (not login_err) and (not auth_res):  # login_err表中没有该账户的记录并且登录失败
        err_login_times = 1
        block_state = False
        login_err_obj = LoginError(user=user_obj, first_err_time=curr_time, err_login_times=err_login_times, block_state=block_state)
        login_err_obj.save()
    elif login_err:  # login_err表中存在该账户的记录
        first_err_time = login_err.first_err_time
        err_login_times = login_err.err_login_times
        block_state = login_err.block_state

        time_interval = curr_time - first_err_time

        if time_interval > ACCOUNT_LIMIT_TIME:  # 超过10min
            if not auth_res:  # 用户名密码错误,重置login_err对象,并将错误次数置为1
                login_err = set_login_err(login_err, curr_time, 1, False)
                login_err.save()
            else:  # 用户名密码正确,登录成功
                login_err = set_login_err(login_err, default_first_err_time, 0, False)
                login_err.save()
        elif (time_interval <= ACCOUNT_LIMIT_TIME) and block_state:  # 10min内,并且账户已被封禁
            state = 0
            return state
        elif (time_interval <= ACCOUNT_LIMIT_TIME) and (not block_state):  # 10min内,并且账户未被封禁
            if not auth_res:  # 用户名和密码错误
                err_login_times = err_login_times + 1
                login_err = set_login_err(login_err, first_err_time, err_login_times, False)
                if err_login_times == MAX_ERR_LOGIN_TIMES:
                    login_err = set_login_err(login_err, first_err_time, 0, True)  # 这里的时间必须是数据库中取出来的第一次登录失败的时间
                login_err.save()
            else:  # 用户名和密码正确
                login_err = set_login_err(login_err, default_first_err_time, 0, False)
                login_err.save()
    elif auth_res:
        return state

    return state


def set_login_err(login_err, first_err_time, err_login_times, block_state):
    """
    更新 login_err 对象
    """
    login_err.first_err_time = first_err_time
    login_err.err_login_times = err_login_times
    login_err.block_state = block_state

    return login_err


def timestamp_to_1970(timestamp):
    """
    当前时间距离1970的秒数
    """
    return time.mktime(timestamp.timetuple())
  1. datetime获取的时间存在时区不一致的问题:在debug时候打印出来的时间与系统的时间一致,但是存储到数据库以后是差了8h的时间,即使我在代码中设置时区的替换也没法解决,settings.py中设置了时区也不行。最后我只想得到两种方法解决:
    • 数据库中存储时间戳字符串
    >>> from datetime import datetime
>>> a = str(datetime.now())
>>> a
'2019-10-26 15:57:51.582710'
>>> b = datetime.strptime(a, '%Y-%m-%d %H:%M:%S')
Traceback (most recent call last):
  File "<stdin>", line 1, in <module>
  File "D:\ProgramFiles\Anaconda3\lib\_strptime.py", line 577, in _strptime_datetime
    tt, fraction, gmtoff_fraction = _strptime(data_string, format)
  File "D:\ProgramFiles\Anaconda3\lib\_strptime.py", line 362, in _strptime
    data_string[found.end():])
ValueError: unconverted data remains: .582710
>>> b = datetime.strptime(a.split('.')[0], '%Y-%m-%d %H:%M:%S')
>>> b
datetime.datetime(2019, 10, 26, 15, 57, 51)
    • 数据库中存储的是当前时间距离1970年的秒数(FloatField()),这样避免了时区处理的问题,通过代码中的timestamp_to_1970函数进行转换。

1.3 改进

可以根据账户登录失败的频率、或是该账户使用频率来动态设置封账号的时间

0x02 绕过

2.1 思路

为了尽量不触发目标网站对单个账户一段时间内的登录失败次数的限制,利用慢速撞库的方法。

针对单个账户,短时间内只进行一次撞库尝试,在一轮里遍历所有的账户;然后进行中场休息,再继续下一轮尝试。如果在过程中已经有撞库成功的账户,则跳过该账户。

2.2 实现

  1. 详细的代码在iansmith123开源的bruteforce Repository中的文件:block_account_bypass.pyba_bypass_bruteforce.py
  2. 主要的代码:
def get_dict(dict_user, dict_pass):
    """
    生成字典队列
    :return:
    """
    with open("dict/{}".format(dict_user)) as f:
        username = [line.strip() for line in f.readlines()]

    with open('dict/{}'.format(dict_pass)) as f:
        passwords = [line.strip() for line in f.readlines()]

    count = 0
    for u in username:
        # 每一轮都换下一个密码
        p = passwords[curr_round % len(passwords)]
        count += 1
        pair = (u, p)
        dict_queue.put(pair)
    print("字典生成完成,长度 {}".format(count))

2.3 改进

  • 测试得到目标网站的账户封禁时间time_interval,该段时间内的封禁次数n
  • 在绕过脚本中,对于同一个账户可以直接尝试前n-1次,记录第一次错误时间first_time,然后程序sleep,直到first_time + time_interval

0x03 Tools and Tricks

  1. 进入sqlite3命令行:
sqlite3 db_file_path

  1. pycharm连接sqlite3:

    • 侧边栏的Database中,点击+新建一个sqlite数据库
    • 记得点击窗口下方的安装相关的驱动
    • 然后在File 里选择数据库文件即可

  2. django自带的auth_user表的引用:from django.contrib.auth.models import User

  3. 删除数据库的表中所有数据:delete from user_loginerror;

跨站脚本漏洞(xss)原理及绕过
qq_64775230的博客
06-14 205
丹尼在cookie上设置httponly标识后,浏览器就会知道这是特殊的cookie,只能由服务器检索,所有来自客户端脚本的访问都会被禁止。利用现有的xss平台,xss平台是一个测试xss漏洞获取cookie的平台,xss可以做js能做的所有事情,八廓但不限于窃取cookie、后台删改文章、钓鱼、李勇xss漏洞进行传播、修改网页代码、网站重定向、获取用户信息等。x:模式中的没有经过转义的或不在字符类中的空白数据字符总会被忽略,并且位于一个未转义的字符类外部的#字符和下一个换行符之间的字符也被忽略。
[网络安全自学篇] 四十八.Cracer第八期——(1)安全术语、Web渗透流程、Windows基础、注册表及黑客常用DOS命令
杨秀璋的专栏
02-21 2万+
这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文分享了微软证书漏洞(CVE-2020-0601),并详细讲解了Windows验证机制、可执行文件签名复现及HTTPS劫持。本文将分享另一个主题——Cracer教程,第一篇文章将详细讲解安全术语、Web渗透流程和Windows基础、注册表及黑客常用DOS命令。基础性文章,希望对您有所帮助。
Burp Suite 暴力破解绕过同一账户登录次数
weixin_62860907的博客
08-03 922
诸如此类,最终,我放弃了,我开始想另一种方法,在网上浏览,无意间发现Burp Suite可以使用python脚本语言,我就在想是不是可以让每三次登录然后暂停一分钟,要不然压根无计可施,找寻资料后,我发现它是由JYTHON实现的,于是我登录官网下载了JYTHON的jar包开始导入。代码由gpt生成,我将每三次修改成了每四次停止一次,时间也由60秒修改为65,然后用C语言,在我的密码本上每三行后面添加一行123456。我尝试了网上绕过的各种方法,比如说改ip,就是用bp的鱼叉模式,选中数据包中ip地址。
软件评测-信息安全-应用安全-资源控制-用户登录限制(上)
weixin_33967071的博客
06-14 149
   最近需要把通用权限管理系统送到软件评测中心进行信息安全测试,其中有就有一项检查内容叫:“资源控制-用户登录限制”,为了达到这个检查项目的要求,我们程序也进行了改进,同时也是为了达到银行的安全检查要求。    1:用户可以进行封锁处理,就是所谓的锁定处理。    2:用户的允许登录时间需要能限制,例如只能在上班时间登录系统。    3:用户可以设置锁定期限,在一定的期限内不允许登录,让帐...
软件评测-信息安全-应用安全-资源控制-用户登录限制(中)
weixin_34253539的博客
05-10 176
最近需要把通用权限管理系统送到软件评测中心进行信息安全测试,其中有就有一项检查内容叫:“资源控制-用户登录限制”,为了达到这个检查项目的要求,我们程序也进行了改进,同时也是为了达到银行的安全检查要求。 1:会话限定。 2:用户登录限制。 3:最大并发连接。 以上暂时可以理解为在线用户限制,这不是商业利益有关系,也跟系统的稳定性有关,太多用户同时间登录了可能...
登录功能--限定用户一定时间内错误次数
InvisibleMouse的博客
03-12 723
前言 有很多的登录页面中会限定用户的一定时间内的登录次数,这篇文章就是模仿着实现这个功能。 涉及知识 Redis :主要是靠着Redis来实现这个功能 redis中有一个重要的方法是设定其中key的保存时长,可百度redis expire springboot2.0 连接Redis并使用RedisTemplate 参考: idea整合springboot+redis. StringRedis...
用户登录错误次数限制、并实现:错误登录次数登录错误间隔时间、封禁时间,参数的可配
qq_38493490的博客
05-23 2万+
只供自己查看....我这属于代码乱贴 1、可配参数说明: 错误登录次数:用户可“连续”输入错误的次数登录错误间隔时间:第一次错误~最后一次错误的间隔时间(此处用分钟做计算); 封禁时间:登录错误次数达到上限后,禁止用户登录的时长(此处用分钟做计算); 2、表设计: h_login_miss:记录登录次数和状态-主表 h_login_log:记录登录信息-附表-主要记录...
限制用户登录失败次数登录IP,登录时间
qq_33674508的博客
09-02 1223
限制用户登录失败次数登录IP,登录时间 例如:修改用户登录10次锁定,限制IP为172.21.18.登录登录时间为周一早上到周五晚上6点 alter user testuser limit failed_login_attemps 10 allow_ip "172.21.18." allow_datetime “MON” “8:00:00” to “FRI” “18:00:00”; ...
【网络安全】---web网络安全总结
qq_53061847的博客
05-28 1万+
我们页面常见的web安全问题有: 一、保证我们的前端页面没有漏洞可循 xss跨站点脚本攻击: 不要新人任何用户的输入, 能跟用户产生交互的地方都需要对参数进行转译或者过滤 文件上传漏洞攻击: 校验文件格式, 后端限制存放文件路径的权限,限制运行脚本 SQL注入攻击: 对用户输入进行转译, 后端采用预编译的sql,不要直接使用前端参数 CSRF 跨站请求伪造 anti CSRF token: 原理是从后端拿过来的html文件会在session存储一个随机的验证信息, 每次请求都发送这个验证信息进行校
全面解析Web网络安全:威胁、技术与未来
weixin_65409651的博客
07-31 795
Web网络安全指的是保护Web应用、服务器和数据免受各种网络攻击和安全威胁的过程。随着Web应用的广泛使用,网络安全问题日益突出,攻击者通过各种手段获取、篡改和破坏数据,给用户和企业带来巨大的损失。因此,Web网络安全在现代信息技术中具有重要的地位。基本目标机密性:防止未经授权的访问,保护数据不被泄露。完整性:确保数据在存储和传输过程中不被篡改。可用性:确保系统和应用的正常运行,不受攻击和干扰。
Web安全之XSS跨站脚本攻击_超链接xss(2)
2401_84297944的博客
04-28 793
点击“write”按钮后,会在当前页面插入一个超链接,其地址为文本框的内容。
php实现登录失败次数限制
aomiano55778的博客
01-02 606
需求:同一个账号同一个IP地址连续密码输错一定次数后,这个账号是会被锁定30分钟的。 实现思路: 需要一个表(user_login_info)负责记录用户登录的信息,不管登录成功还是失败都记录。并且登陆失败还是成功需要能够区分开来。 每次登陆时,都先从user_login_info表查询最近30分钟内(这里假设密码错误次数达到5次后,禁用用户30分钟)有没有相关密码错误的记录...
暴力破解之绕过登录次数限制,同时根据响应时间判断有效的用户名
weixin_43618066的博客
11-19 8088
一.尝试输入账户密码,根据错误消息判断
限制登录错误次数的办法
pegasus827的博客
09-02 2115
不建议用session,因为每一个session会话相对独立,关闭浏览器就会失效 1.建一张表来记录用户id,错误登录次数,上次登录时间。(也可以在user表上添加这三个字段,这样会省去一个初始化的麻烦) 2.登录失败后,进行校验:若已经错误登录5次,返回特定编码以告知前台显示错误信息。若次数不足5次,错误登录次数+1,并返回正常错误信息。若距离上一次错误登录时间已经过了1小时或者到了第二天,错误次数置为1。 3.若密码正确,并可以正常登录,将错误次数置为0。若处于锁定中,返回指定错误信息。 ...
系统登录失败次数超过限定次数,则根据IP或用户名锁定,需要过了锁定时间才可以继续登录
weixin_43165220的博客
06-26 5625
之前做的项目都有用户名锁定机制,即:用户名失败次数超过多少次,就锁定这个用户不可以再登录,需要等过了锁定时间才可以继续登录。然后最近的一个项目中,有个漏洞整改措施中,提到了这个锁定机制不能只根据用户名锁定,还要根据IP锁定。
从安全和体验上解析移动App的登录
热门推荐
农场老马的专栏
03-03 3万+
App登录需要解决的问题有两个:安全、体验。它们分别对应着登录过程的用户认证,以及用户登录过程操作复杂度两个问题。 一、登录过程的用户认证,常见的手段有密码加密传输、动态密码、验证码等。 1、密码加密。 目前互联网行业的移动APP有不少在使用最简单的做法:根据密码生成一个散列值,把散列值发送给服务器。服务器计算库中用户密码的散列值,然后和客户端传来的散列值比较,一致的话,登录
登录次数限制实例
习惯成自然
02-13 7025
业务逻辑 1、根据用户名从数据库中取出一行数据,并根据数据库服务器时间,算出上次限制登录的时间和当前时间的时间间隔。 2、判断此用户时间间隔过了15分钟没有。如果没有,则给出禁止登录的提示;如果超过15分钟,则判断密码是否正确。 3、如果密码正确,提示登录成功并重置错误次数;如果密码不正确,则给出密码错误提示并更新数据库错误次数。并判断是否够3次了。 4、如果够3次的话,就记录错误时间
关于限制同一个IP访问频率和限制用户登录时候输错密码次数限制(超过即限制
PSY_God的博客
06-16 1万+
一:关于限制同一IP的基本的思路spring action请求频率限制(不能限制静态资源的请求) 限制同一ip在一定时间内, 对server请求的次数. 由ip第一次请求来做为时间点, 将时间,请求次数缓存到redis.1. 第一次请求(redis中无缓存记录), 初始化缓存(时间=当前, 次数=1) . 2. 非第一次请求, 从redis中取出缓存与当前时间相比.      2.1: 缓存时间过...
cas 入门之二十一:用户错误登录次数限制
snoopy
07-23 1万+
用户错误登录限制简而言之就是限制单个用户单位时间内登录系统的错误次数。当用户在单位时间内登录系统的次数达到上限,就对这个 用户采取相应的措施。 对于单节点CAS情况下,用户登录限制有两个方法:一是按IP地址限制,另一个通过IP地址+用户名组合限制。  对于多节点CAS情况下,只能结合Inspektr的审计功能来限制用户登录。 首先配置了限制用户登录的拦截器。当一个用户在单位
ValueError: unconverted data remains: 00:00:00
最新发布
11-07
ValueError: unconverted data remains: 00:00:00 这个错误通常出现在处理字符串日期格式时,当你试图将这种格式的日期转换为能被Pandas识别的时间戳(如datetime对象)时。在这个错误消息中,`unconverted data remains`意味着有一些无法自动解析的部分未被正确转换。 例如,如果你有一个像这样的字符串列表:`['2023-01-01 00:00:00', '2023-01-02 12:30:45']`,并且你尝试用`pd.to_datetime`函数将其转换为日期时间,其中包含'00:00:00'的项会引发这个错误,因为Pandas默认只识别小时分钟秒都非零的时间段。 解决这个问题,你可以提供一个更具体的日期解析格式给`to_datetime`函数,告诉它应该如何处理这些'00:00:00'的时间部分。比如: ```python import pandas as pd dates = ['2023-01-01 00:00:00', '2023-01-02 12:30:45'] formatted_dates = pd.to_datetime(dates, format='%Y-%m-%d %H:%M:%S') # 或者,如果00:00:00代表缺失值,你可以选择忽略它们 formatted_dates = pd.to_datetime(dates, errors='coerce') formatted_dates = formatted_dates[~formatted_dates.isna()] ``` 第一种情况是将'00:00:00'视为有效的时间戳;第二种情况则是将其视为缺失值并丢弃。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值