java防止暴力破解用户名的5种常见方法

最新推荐文章于 2024-04-10 16:22:56 发布
最新推荐文章于 2024-04-10 16:22:56 发布
阅读量4.3k 收藏 10
点赞数 3
分类专栏: 用户登录安全策略 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42565292/article/details/107761604
版权

系统的账号密码如果被破解了,对我们的整个系统都是巨大隐患。
通常情况下,我们会使用以下方法阻止黑客破解账号密码:
1、网站管理入口禁止使用弱口令帐号,建议使用复杂口令,比如:大小写字母与数字的组合,口令长度不小于8位等;
2、验证码在服务端校验;
3、建议采用防高频策略,针对同一IP短时间内的高频请求进行限时锁定;
4、第三方WEB防火墙来加固整个网站系统。
5、诱导/模糊提示。

具体操作:

方案1

在前端或后台对密码进行校验
前端校验

<html>
<head>
    <meta charset="utf-8">
    <title>密码验证</title>
</head>
<body>
</br>
<input type="text" id="test1">
<input type="button" id="te" οnclick="test()">

<script>
    function test(){
        var text= document.getElementById("test1").value;
        var   re =/^(?=.*[a-z])(?=.*[A-Z])(?=.*\d)[^]{8,20}$/;
        //正则表达式,大小写及数字,8-20位
        var result=  re.test(text);
        if(result)
        {
            alert("输入正确");
            //发送请求给后台修改密码。
        }else
        {
            alert("密码至少包含大写字母,小写字母,数字,且不少于8位");
        }

    }
</script>
</body>

</html>

java后台校验
第一种:

String check = "^(?![0-9]+$)(?![a-zA-Z]+$)[0-9A-Za-z_]{8,20}$";
Pattern regex = Pattern.compile(check);
Matcher matcher = regex.matcher(password);
if(!matcher.matches()){
    throw new MyParameterException(187, ApiConfirm._187);

}

不符合直接抛出异常,异常为自定义异常。

第二种:

/**
* 包含大小写字母及数字且在8-20位
* 是否包含
* @param str
* @return
*/
public static boolean isLetterDigit(String str) {
   boolean isDigit = false;//定义一个boolean值,用来表示是否包含数字
   boolean isLetter = false;//定义一个boolean值,用来表示是否包含字母
   for (int i = 0; i < str.length(); i++) {
       if (Character.isDigit(str.charAt(i))) {   //用char包装类中的判断数字的方法判断每一个字符
           isDigit = true;
       } else if (Character.isLetter(str.charAt(i))) {  //用char包装类中的判断字母的方法判断每一个字符
           isLetter = true;
       }
   }
   String regex = "^[a-zA-Z0-9]{8,20}$";
   boolean isRight = isDigit && isLetter && str.matches(regex);
   return isRight;
}

方案2

从java后台做一个验证码给前端展示,在java后台进行校验验证码。

方案3

防高频策略,说白了就是记录一下登录人的次数,如果失误了多少次就要冻结账号。
该防御是后台防御。
关键字段,status,fault。
status存放是否冻结。0不冻结。1冻结。
fault存放错误次数。
先进行校验验账号是否存在。
select count(1) from user where loginID =‘(具体账号)’
不存在,返回false。
存在,校验是否冻结。
select count(1) from user where loginID =‘’ and status =‘0’
冻结,返回false。
存在,且不冻结,校验密码:
select count(1) from user where loginID =‘(具体账号)’ and password = ‘(输入的密码)’
密码准确,允许登录。
密码不准确,且非冻结状态:
执行 select fault from user where loginID =‘(具体账号)’
后台判断fault是否大于等于3(譬如我设定密码不能错3次)
如果是,执行:
update user set status = ‘1’,fault=‘0’ where loginID =’(具体账号)’
值得注意的是,我在这里是冻结账号同时清空错误次数的操作。也可以是解除冻结的时候再清除错误次数。
如果fault不大于3,则执行
fault +=1;
update user set fault=‘fault’ where loginID =’(具体账号)’

方案4

该方案,想要效果好,是需要购买第三方防火墙,一般来说,很少有公司愿意花钱去搞,我所在的公司也没有这个,具体操作,尚未清楚。

方案5

这是个最为简单又实用的方案
修改前端alert提示。
前端不提示:
1、密码错误
2、账号有误
而是改为提示:账号或密码有误,使攻击者无法获知账号是否存在,密码是否有误,增加暴力破解的难度。
如果非要有提示密码错误的次数,则需要配合方案3一起实施。

IsNullUndefined
关注
  • 3
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JAVA实现的邮箱暴力破解
01-07
JAVA开发的邮箱暴力破解代码 包括对邮箱服务器的访问和加密 以及界面设计
如何防止暴力破解
叁滴水 的博客
09-08 4265
在之前的[文章中讨论了暴力破解带来的危害,这里探讨下如何有效的防止暴力破解。当然防止的方式有很多,作为一个java开发,暂且只探讨下如何在java层面友好的防止暴力破解
应急响应实战笔记——Linux实战篇:① SSH暴力破解
最新发布
君逍遥o
04-10 573
SSH 是目前较可靠,专为远程登录会话和其他网络服务提供安全性的协议,主要用于给远程登录会话数据进行加密,保证数据传输的安全。SSH口令长度太短或者复杂度不够,如仅包含数字,或仅包含字母等,容易被攻击者破解,一旦被攻击者获取,可用来直接登录系统,控制服务器所有权限。
Linux防暴力破解
小树苗
07-10 834
一、暴力破解解决综合方案 1、使用堡垒机登录(Jumpserver) 2、ssh远程登录端口设置为5位数(不能超过65534) 3、sshd服务,直接编写脚本检查/var/log/secure 内登录失败次数超过某个阈值的ip并将它添加到/etc/hosts.deny(fail2ban的优点更多) 4、禁止root登录设置(PermitRootLogin yes修改为no)使用其他用户登陆并且拥有root用户权限。 5、将密码设置复杂,长度大于8位或者最好大于14位,密码的复杂度:由大小写字母以...
暴力破解的措施总结
qq_45721814的博客
10-20 2835
暴力破解可以有如下几个步骤设计 1、token对防暴力破解的意义,先进入pikachu的网站页面 之后我们打开web开发者选项然后打开web工作台的选项看一下他的源码 其中有一个隐藏的input标签里面包含着token,token后面的数字就是token当你每次输入账号密码都会变成新的,每次输入账号密码它也会顺便验证token的正确与否 而在后端他是先判断你是否先提交了用户名和密码并且对...
jsp数字验证码防暴力破解
04-25
有效防止某个黑客对某一个特定注册用户用特定程序暴力破解方式进行不断的登陆尝试
java自动生成用户名
07-15
java自动生成用户名,非常好用YYDS
Java使用正则表达式验证用户名和密码的方法
08-25
Java使用正则表达式验证用户名和密码的方法非常实用,能够提高程序的稳定性和安全性,本文的示例代码也可以作为开发者学习和参考的材料。在实际开发中,验证用户名和密码的正确性是非常重要的,使用正则表达式可以...
burpsuite_1.7.36用户名密码暴力破解工具
10-30
burpsuite用户 用户名密码暴力破解,软件测试与post get请求分析
暴力破解AES DES SHA MD5
06-07
java写的暴力破解,专门破解AES,DES,SHA,MD5. 你们可以自己再次的去完善一下,这里纯属简单版本。 用java写的暴力破解,专门破解AES,DES,SHA,MD5. 你们可以自己再次的去完善一下,这里纯属简单版本。 用java写的...
lotus domnio java代理获取当前用户名
03-08
Lotus Domino Java 代理提供了多方式来获取当前用户名,每方法都有其特点和优缺。开发者可以根据自己的需求选择合适的方法来获取当前用户名。在实际开发中,获取当前用户名是一个非常重要的步骤,因为它可以用于...
java会话固定漏洞_漏洞:会话固定攻击(session fixation attack)
weixin_36036925的博客
02-26 675
什么是会话固定攻击?会话固定攻击(session fixation attack)是利用应用系统在服务器的会话ID固定不变机制,借助他人用相同的会话ID获取认证和授权,然后利用该会话ID劫持他人的会话以成功冒充他人,造成会话固定攻击。看下面Session Fixation攻击的一个简单例子:整个攻击流程是:1、攻击者Attacker能正常访问该应用网站;2、应用网站服务器返回一个会话ID给他;3、...
十.shiro加密解密,短信免密登录,限制密码重试次数、防止暴力破解
u014203449的博客
07-28 2963
一。加密解密 存储尽量不要用明文密码,且不可逆的加密存储 1.加密算法 散列算法一般用于生成数据的摘要信息,是一不可逆的算法,一般适合存储密码之类的 数据,常见的散列算法如 MD5、SHA 等。一般进行散列时最好提供一个 salt(盐),比如 加密密码“admin”,产生的散列值是“21232f297a57a5a743894a0e4a801fc3”,可以到一 些 md5 解密网站很容易的通...
Java中的10方法防止XSS攻击
热门推荐
qq_28245087的博客
06-29 1万+
这些方法包括输入验证和过滤、安全的HTML和URL编码、Content Security Policy(CSP)的使用、安全的模板引擎和富文本编辑器、用户输入的验证和限制、安全的Cookie设置以及防止跨站点请求伪造(CSRF)。通过实施这些方法,可以降低XSS攻击的风险,保护应用程序和用户的数据安全。通过使用安全的Cookie设置,您可以增加Web应用程序的安全性,保护用户的身份验证和敏感信息免受攻击和滥用。通过验证和限制用户输入,您可以增加应用程序的安全性和可靠性,防止潜在的安全漏洞和错误数据的影响。
Token防篡改机制-JWT
Zz1366的博客
05-20 1265
jwt
后台登陆防刷、防爆破以及正常的登录校验
ZzzzjQqqq的博客
05-23 1310
背景 前几天项目上需要对一个正常登陆接口,以及忘记密码的接口进行防爆破处理,这里我用nginx,redis,以及前端的一些简单的图形拖动来做一个简单的安全机制,可能有不完善的地方,大家可以提出来意见。 技术分析 其实一个接口是无法完全避免接口爆破的,区分人和机器或许可以使用谷歌的图片验证机制,但是我们一般简单项目没必要做那么复杂的,只需要确保不正常的访问频率不会爆破出我们的用户信息,以及让我们机器的处理流量保存在可控范围即可。 实现的效果有下面这几点: 验证码只能60s获取一次 并且3小时内只能获取
靶场项目编写实战
qq_27698011的博客
02-24 828
电气鼠靶场系统包含了常见的漏洞案例,有提示和代码案例。初学者可以通过查询资料等方式通过关卡,在试炼的过程学习漏洞原理和代码审计。
非对称加密算法
Leon_Jinhai_Sun的博客
09-22 2766
非对称加密 简介: ① 非对称加密算法又称现代加密算法。 ② 非对称加密是计算机通信安全的基石,保证了加密数据不会被破解。 ③ 与对称加密算法不同,非对称加密算法需要两个密钥:公开密钥(publickey)和私有密(privatekey) ④ 公开密钥和私有密钥是一对 ⑤ 如果用公开密钥对数据进行加密,只有用对应的私有密钥才能解密。 ⑥ 如果用私有密钥对数据进行加密,只有用对应的公开密钥才能解密。 ⑦ 因为加密和解密使用的是两个不同的密钥,所以这算法叫作非对称加密算法。 示例 首先生.
java用户名和密码service方法怎么写?
06-06
首先,您需要定义一个Java类来处理用户名和密码验证的服务。这个类可以实现一个Servlet或者一个SpringMVC Controller。 在类中,您需要实现一个名为“service”的方法来处理HTTP请求。这个方法应该接受HTTP请求对象和HTTP响应对象作为参数。 在方法中,您可以使用request.getParameter()方法来获取HTTP请求中的用户名和密码参数。然后,您可以将这些参数与您的数据库或其他用户存储服务进行比较。如果用户名和密码是有效的,您可以将HTTP响应设置为成功状态,并将用户信息存储在一个Cookie或Session中,以便将来的请求可以验证用户身份。 如果用户名和密码无效,您可以返回一个错误状态码和错误消息,以便客户端可以显示错误消息。 以下是一个简单的Java代码示例,用于处理用户名和密码验证的服务方法: ```java public void service(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { String username = request.getParameter("username"); String password = request.getParameter("password"); if (isValidCredentials(username, password)) { response.setStatus(HttpServletResponse.SC_OK); // Store user information in cookie or session } else { response.sendError(HttpServletResponse.SC_UNAUTHORIZED, "Invalid credentials"); } } private boolean isValidCredentials(String username, String password) { // Implement logic to validate credentials } ``` 请注意,上面的代码仅提供了一个简单的示例。在实际应用中,您需要实现更复杂的逻辑来验证用户凭据,例如使用加密技术保护密码,并从安全角度考虑防止SQL注入等攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值