用户账号注册的风险及安全措施

已于 2023-07-04 14:04:48 修改
阅读量946 收藏 1
点赞数
分类专栏: web安全 文章标签: python 后端 web安全 安全
于 2023-05-30 17:03:33 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46023525/article/details/130949760
版权

安全风险(包括但不限于):

  1. 密码泄露:用户的密码可能被攻击者窃取,从而导致账户被盗。
  2. 恶意注册:攻击者可能会使用自动化程序进行大量恶意注册,占用系统资源。
  3. 密码猜测:攻击者可能会尝试使用常见的密码组合进行猜测,从而破解账户。

安全措施(包括但不限于):

  1. 强制要求用户使用强密码,并定期更换密码。
  2. 限制恶意注册,可以采用验证码、人工审核等方式。

1.强制要求用户使用强密码,并定期更换密码

(Python代码示例)

强制要求密码长度和字符组合:

import string
from django.contrib.auth.models import User

def set_password(user, new_password):
    """
    设置用户密码
    """
    if not isinstance(new_password, string.ascii_letters + string.digits + string.punctuation):
        raise ValueError('密码必须包含字母、数字和标点符号')
    if len(new_password) < 8:
        raise ValueError('密码长度至少为8位')
    user.set_password(new_password)
    user.save()

定期更换密码:

from django.contrib.auth.models import User
from django.utils.timezone import now

def reset_password(user):
    """
    重置用户密码
    """
    user.set_password(random_password())
    user.save()
    user.is_active = False
    user.save()
    delta = now() - user.last_login
    user.expires_at = None
    user.save()
    send_reset_password_email(user)

在修改密码页面中加入二次验证:

from django import forms
from django.contrib.auth.forms import PasswordResetForm, SetPasswordForm
from django.contrib.auth import update_session_auth_hash, login as auth_login
from django.utils.decorators import method_decorator
from django.views.decorators.debug import sensitive_post_parameters

@method_decorator(sensitive_post_parameters())
def password_change(request, *args, **kwargs):
    """
    重置用户密码页面装饰器
    """
    if request.user.is_authenticated:
        return redirect('home') # 如果用户已登录,则重定向到主页
    url = reverse('admin:auth_user_changelist') # 获取用户列表页面的URL地址
    form = PasswordResetForm(data=request.POST or None) # 如果表单数据存在,则使用表单数据;否则创建一个新的表单实例。
    prev_page = request.GET.get('next', url) # 获取上一页的URL地址。如果没有上一页,则将默认值设为当前页面的URL地址。
    if form.is_valid(): # 如果表单验证通过,则执行以下操作:
        form.save(request=request) # 将表单保存到数据库中。这将在重定向到登录页面时使用。
        update_session_auth_hash(request, form.user) # 将用户的认证哈希值更新到会话中。这将在重定向到主页时使用。
        auth_login(request, form.user) # 将用户登录到系统中。这将在重定向到主页时使用。
        return redirect(prev_page) # 将用户重定向回上一页。如果没有上一页,则将用户重定向到主页。

(JAVA代码示例)

强制要求密码长度和字符组合:

public class PasswordEncoder implements PasswordEncoder {
    
    private final String algorithm;
    
    public PasswordEncoder(String algorithm) {
        this.algorithm = algorithm;
    }
    
    @Override
    public String encode(CharSequence rawPassword) throws Exception {
        // 对原始密码进行加密
        return algorithm + "$" + new BigInteger(rawPassword.toString()).abs().toString(32);
    }
    
    @Override
    public boolean matches(CharSequence rawPassword, CharSequence encodedPassword) throws Exception {
        // 比较原始密码和编码后的密码是否匹配
        String algorithmPrefix = encodedPassword.substring(0, algorithm.length());
        String encodedPasswordSuffix = encodedPassword.substring(algorithm.length());
        if (!encodedPasswordSuffix.startsWith("$")) {
            throw new IllegalArgumentException("Invalid encoded password");
        }
        String rawPasswordSuffix = new BigInteger(encodedPasswordSuffix).abs().toString(32);
        return algorithmPrefix.equals(encodedPasswordSuffix) && rawPasswordSuffix.equals(rawPassword.toString());
    }
    
}


public class PasswordValidator implements PasswordValidator {
    
    private final List<CharacterValidator> characterValidators;
    
    public PasswordValidator(List<CharacterValidator> characterValidators) {
        this.characterValidators = characterValidators;
    }
    
    @Override
    public boolean isValid(CharSequence rawPassword, Collection<ConstraintViolation<CharSequence>> constraintViolations) throws Exception {
        // 对原始密码进行验证,如果验证失败则返回false,否则返回true
        for (CharacterValidator characterValidator : characterValidators) {
            if (!characterValidator.isValid(rawPassword)) {
                constraintViolations.add(new DefaultConstraintViolationException("Invalid password")); // 如果有一个验证失败,则添加一个约束异常到集合中
                return false;

2.限制恶意注册,可以采用验证码、人工审核等方式(Python代码示例)

验证码

import random
import string
from tkinter import * # 导入Tkinter库
from PIL import Image, ImageDraw, ImageFont # 导入Pillow库中的Image、ImageDraw和ImageFont模块

root = Tk()
root.title('验证码')
canvas = Canvas(root, width=400, height=100)
canvas.pack()

image = Image.new('RGB', (150, 50), color='white')
draw = ImageDraw.Draw(image)
font = ImageFont.truetype('arial.ttf', 25)
draw.text((10, 10), '请输入验证码:', fill=(0, 0, 0), font=font)
draw.text((10, 30), ''.join(random.choices(string.ascii_uppercase + string.digits, k=6)), fill=(0, 0, 0), font=font)
photo = ImageTk.PhotoImage(image)
label = Label(root, image=photo)
label.image = photo # 将图片绑定到Label控件上
label.place(x=10, y=10) # 设置图片位置
root.mainloop() # 进入主事件循环
看着博客敲代码
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
互联网业务安全之通用安全风险模型
02-26
后者对普通用户而言基本属于透明状态,对于电商/互联网金融/社交媒体更多面临的业务安全风险集中在账户/交易/支付三个维度内。账户体系安全在具体的业务细分中,最直接的业务体现则为注册、登录、找密三个主要入口。...
用户账号注册表单响应式网页模板
01-23
用户账号注册表单响应式网页模板
小红书社区反作弊探索与实践
REDtech_1024的博客
04-17 1185
在没有风控没有对抗的情况下,发现风险是相对容易的,风险隐蔽性不强,该阶段基于行为的主体特征做异常识别,基本假设是作弊主体有明确的特征异常。这也要求做风控的同学跟进行业的形势和进展,做到知己知彼,在识别对抗的过程中不断的完善自我,做到迭代的优化。最后一层,作弊行为会影响流量的价值,内容和数据的不真实,本身会降低公众对平台的认可度,长期来看会影响用户使用平台的兴致。从商业化的角度,最关心流量价值的是投放者,对于投放者,如果数据不准确会影响商业分析的结论偏差,导致投放效果不如预期,低估品牌的流量价值。
面试官:如何保证用户模块的数据安全?说说你的解决方案!
架构文摘
05-24 189
原文:juejin.cn/post/6916150628955717646写在前面在介绍具体方案之前,首先先介绍一下常见的加密算法。加密算法可以分为三大类:对称加密算法非对称加密算法Hash算法对称加密算法加密和解密使用相同的密钥。对称加密算法加密解密速度快,但安全性较差 常见的对称加密算法:DES、3DES、DESX、Blowfish、IDEA、RC4、RC5、RC6和...
逻辑漏洞----任意账号注册
qq_44418229的博客
07-26 6852
逻辑漏洞--未验证,批量注册,个人信息伪造,前端绕过,用户名覆盖
谈谈移动互联网应用的用户注册登录安全考虑之不可逆加密的应用原则
lindev的专栏
06-06 2590
现在移动互联网非常普遍,一般都会采用用户注册登录机制以便增强用户粘性。那么用户的密码应该如何保存在客户端?如何传输?在云端又如何保存?这个问\ 题我思考过许久,总结出如下基本的思路,根据此思路具体方法就不难设计出来了。 用户的登录目的就是为了验证试图登录的用户与当初注册用户是同一个用户。 假设用户注册/登录过程均是在完全安全的环境下进行,例如在你自己家的个人电脑上你开发一个单机的应用
游族马寅龙:常见信息安全风险及应对方案
声网的博客
08-19 1649
安全,长期以来是企业最容易忽视的关键点之一。安全问题发生前,存在感低;然而发生以后,损失却已经难以挽回。
十二个常见的Web安全漏洞总结及防范措施
chenlijian的博客
03-22 1万+
PCI DSS数据安全测评旨在促进并增强持卡人账户数据安全,为保护帐户数据的技术和操作要求提供了一个基准,便于统一的数据安全措施在全球范围内的广泛应用。PCI DSS 适用于参与支付卡处理的所有实体——包括商户、处理商、收单机构、发卡机构和服务提供商。PCI DSS 还适用于存储、处理或传输持卡人数据 (CHD) 和/或敏感验证数据 (SAD) 的所有其他实体。
CSDN帐号管理规范
热门推荐
CSDN 官方博客
08-03 64万+
3、经新闻媒体曝光、行政管理部门通报,或经CSDN巡查发现用户帐号使用过程中存在违法违规行为,对CSDN造成或可能造成实际损失或不良影响的(包括但不限于:CSDN声誉受损、大量用户投诉、危及交易安全或CSDN安全),CSDN有权视用户违规严重程度采取冻结用户在CSDN的全部款项(包括但不限于收益)、清空帐号信息、清空帐号发布的内容、限制或永久封禁帐号功能等管理措施。假冒、仿冒、捏造新闻网站、报刊社、广播电视机构、通讯社等新闻媒体的名称、标识等,或者擅自使用“新闻”、“报道”等具有新闻属性的名称、标识等;..
身份安全风险分析
PLAIDC的博客
11-26 1212
从勒索软件到 APT,身份风险是重要的攻击向量。管理 Active Directory 的复杂性,导致所有组织都存在1/6的可利用的特权身份风险。这些身份风险包括使用过时密码的本地管理员、具有不必要权限的错误配置用户、在终端上暴露的缓存凭据等。当攻击者利用这些特权身份风险入侵终端时,他们将会安装恶意软件和窃取数据。特权身份是重要的凭据,攻击者利用它来窃取组织中重要数据。不幸的是,大多数组织都没有意识到这种风险——直到他们受到攻击或直到Illusive公司帮助他们发现这些风险。身份风险无处不在。
办公网络终端都应该做哪些安全防御措施
maoguan121的博客
10-03 2725
终端安全响应系统(Endpoint Detection and Response,EDR) 是传统终端安全产品在高级威胁检测和响应方面的扩展与补充,它通 过威胁情报、攻防对抗、机器学习等方式,从主机、网络、用户、文 件等维度来评估企业网络中存在的未知风险,并以行为引擎为核心, 利用威胁情报,缩短威胁从发现到处置的时间,有效降低业务损失, 增强可见性,提高整体安全能力。
如何消除网站安全的七大风险
03-04
值得注意的是,如果服务器的账号和权限由于管理不善而泄露了,即使技术上网站系统再安全,也不可避免会受到攻击。在笔者曾经参与过的一个项目中,客户方邀请了专业的第三方安全测试公司进行了安全性的全面检测,同时...
Windows注册表中修改UAC(用户账号控制)及批处理脚本
08-26
今天小编就为大家分享一篇关于Windows注册表中修改UAC(用户账号控制)及批处理脚本,小编觉得内容挺不错的,现在分享给大家,具有很好的参考价值,需要的朋友一起跟随小编来看看吧
python学习-使用pandas库分析excel表,并导出所需的表
SixSix的自留地
05-16 258
使用pandas库分析excel表中多个子表的数据
使用Python操作excel单元格——在单元格中插入公式
xll_007的博客
05-16 375
使用Python操作excel单元格——在单元格中插入公式。 通过使用Python的openpyxl库,来操作excel单元格,在单元格中插入公式的操作。把学习的过程分享给大家。大佬勿喷!
geopandas快速入门报错1
最新发布
weixin_45213317的博客
05-19 179
报错:CRSError: Invalid projection: EPSG:4326: (Internal Proj Error: proj_create: no database context specified)解决方法:重新下载适合自己Python版本的pyproj安装。
Gradio 案例——将 dicom 文件转为 nii文件
蒋含竹的博客
05-15 368
Gradio 的WEB界面案例:利用 SimpleITK 库,将 dicom 文件转为 nii文件
使用XPath来解析网页数据
2301_80263861的博客
05-18 744
首先是定位到超链接为“link4.html”的 a 标签,然后向上翻一级,也就是到了 li 元素,然后再查找这个 a 标签对应的 li 的 class 属性值,即最后的输出为[‘item-1’]第一种是访问class属性为“item-0”的 li 标签下的文字,但是在这行代码里面,li 标签的下一级是 a 标签,没有文字,只有换行符,所以输出也就是['\n ']获取class属性值含 “li” 和 name 属性值为 “item” 的 li 标签下的 a 标签的文字部分。
基于SpringBoot的校园新闻管理系统的设计与实现,1.项目概述 2.产品/服务介绍 3.市场分析及定位 4.商业模式 5.营销策略 6.财务分析 7.风险控制(风险识别、风险防范及措施等) 7.团队组织分工 8.其他说明,八百字左右
06-09
(3)风险措施:及时修复系统故障,处理用户反馈的问题,保证系统稳定运行。 7.团队组织分工: 本项目的团队由以下人员组成: (1)项目经理:负责项目的整体规划和管理。 (2)UI设计师:负责系统界面的设计和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

看着博客敲代码

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值