07-SQL-登录次数限制--爆破防护

最新推荐文章于 2024-05-29 15:46:47 发布
最新推荐文章于 2024-05-29 15:46:47 发布
阅读量480 收藏 2
点赞数 9
文章标签: 网络安全 sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tianxiadiiw/article/details/136802372
版权

一、基本思路

在前述攻防的过程中,我们从最开始写一个简单的登录页面和后台功能开始,

到发现SQL注入漏洞,万能验证码,爆破等漏洞开始,

一路修改代码对漏洞进行防护,一路又使用新的手段进行破解,最终只剩下爆破这一个漏洞了,

只要限制用户登录失败的次数,那么就可以从根本上防止暴力破解

1)需要在数据库中记录某个用户的登录失败的次数,每登录失败一次,则+1

2)需要在数据库中记录某个用户最后一次登录时间,用于判断是否接触限制

3)每一次登录时,只要用户名是存在的,都需要从数据库里面取得这两个值,从而进行判断

二、技术准备

在数据库中添加两列,failcount,lasttime,如下图所示

1.核心的SQL语句操作

同时更新两个字段并更新时间为现在:update user set failcount=failcount+1 lasttime=now() where userid=?
比较两个时间的差值,单位可以是分或者是秒等:select lasttime,now(),TIMSTAMPDIFF(MINUTE,lasttime,NOW()) from user;

2.在php中处理时间

完整代码展示-利用登录次数的限制从而达到防止爆破的漏洞

<?php
/**
 * 本代码解决用户登录失败的限制问题,更加完整的解决登录模块的爆破和其他漏洞
 */
    include "common.php";

    // 获取用户提交的登录请求的数据
    // 使用addslashes函数对用户名进行转义
    $username = $_POST['username'];
    $password = $_POST['password'];
    $vcode = $_POST['vcode'];

    // 验证码的验证

    // 此处启用了万能验证码的漏洞==》存在安全漏洞:认证和授权失败
    // if($vcode !== '0000'){
    //     die("vcode-error");
    // }

    // 根据图片验证码进行验证
    if(strtoupper($_SESSION['vcode']) != strtoupper($vcode)){
        die("vcode-error");
    }
    else{
        // 验证码输入成功后,再清空本次session中的验证码
        unset($_SESSION['vcode']);
        // $_SESSION['vcode']='';  不能直接设置为空字符串,否则也可以在请求上提交一个空验证码,实现绕过
    }

    // 无论验证码是否正确,再提交一次请求均清空一次,但是会增加服务器的负担
    unset($_SESSION['vcode']);

    // if(strtoupper($_COOKIE['vcode']) !=strtoupper($vcode)){
    //     die("vcode-error");
    // }


    $conn=create_connection_oop();
    // create_connection_oop()

    // create_connection()是调用common.php中定义的函数,就是数据库连接的
    // $conn = create_connection();
    $sql= "select userid,username,password,role,failcount,TIMESTAMPDIFF(Minute,lasttime,now()) from user where username=?";

    // 基于面向对象和MySQL预处理功能是实现MySQL注入
    $stmt = $conn->prepare($sql);
    $stmt->bind_param("s",$username);    // 绑定结果集
    $stmt->bind_result($userid,$username2,$passwrod2,$role,$failcount,$timediff);  //绑定结果参数  $timmdiff得到了相差的分钟数
    $stmt->execute();
    $stmt->store_result();  //获取行数

    // 获取到的行数是否为一,只表示用户名存在
    if($stmt->num_rows == 1 ){    //表明用户存在
        $stmt->fetch();


        // 判断密码是否正确之前,先判断登录次数是否受限
        if ($failcount >= 5 && $timediff <=60){
            die('user-locked');
        }


        //判断密码是否正确之前,先判断登录次数是否受限
        if ($failcount>=5){
            die('user-locked');
        }

        if($password == $password2){
            // 先把failcount重置为零
            if($failcount > 0){
                $sql = "update user set failcount=0 where userid=?";
                $stmt = $conn->prepare($sql);
                $stmt->bind_param("i",$userid);
                $stmt->execute();
            }
            echo "login-pass";
            // 失效的访问控制
            // url绕过
            echo "hello,word";
            // 登录成功后,记录session变量
            $_SESSION['username'] = $username;
            $_SESSION['islogin'] = 'true';
            echo " <script>location.href='welcome.php'</script> "; 
        }
        else{
            $sql = "update user set failcount=failcount+1,lasttime=now() where userid=?";
            $stmt = $conn->prepare($sql);
            $stmt->bind_param("i",$userid);
            $stmt->execute();
            echo "login-fail";
            echo " <script>location.href='login.html'</script> ";

        }
         
    }
    else{
        echo "user-invalid";
        echo " <script>location.href='login.html'</script> ";
    }
    // 关闭数据库
    mysqli_close($conn);
?>

登录模块的各类的防护措施“

验证码:不建议使用图片验证码

登录次数的限制,并记录IP

多因素认证:账密+短信

记录用户常用IP地址区域,如果在不常用区域登录,预警

除了使用session外,也会使用到token

xuzhuoyang
关注
  • 9
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
渗透测试-SQL注入-登录漏洞-登录次数限制
fjc0214的博客
12-04 457
在SQL注入-登录漏洞-Burp爆破中我们提到了Burp爆破的问题,但是在实际的登录过程中,我们还需要考虑到登录次数限制,否则会被暴力破解,从而导致系统被入侵,本文将对登录次数限制进行修复。
sqlserver数据库限制用户登录失败次数
野生码农
09-20 5296
gpedit.msc 设定 失败三次之后锁定30分钟,30分钟重置一次 使用数据库的账户登录测试 故意输错三次密码后,提示 解锁锁定的账户 ALTER LOGIN jason WITH PASSWORD = 'Txxx.00' UNLOCK 解锁被锁定的数据库账户jason 参考资料 sqlserver数据库限制用户登录失败次数 https://www.cnblogs.com/xiaoyou2018/p/11890758.html ...
Burpsuite靶场|使用成功登录破除IP限制后暴力破解密码
最新发布
TangGo_Nosugar的博客
05-29 1135
Burpsuite靶场|使用成功登录破除IP限制后暴力破解密码
MySQL数据库用户密码连续5次输入错误限定用户登录
孑木文学的博客
12-12 6755
为数据库安全第三方会进行渗透测试,为防止恶意暴力破解用户密码,在用户登录时密码连续输入错误一定次数后限定用户的登录。本文通过插件实现当用户连续输入5次错误密码后显示其登录
SQL注入(一):数字型(手注)+利用+爆破
NSQ0207的博客
07-19 1139
查询语句:select id,email from member where username=$id
Oracle 数据库用户锁定与解锁,用户锁定最大密码失败次数设置方法,ORA-28000: the account is locked问题解决方法
男神的专栏
05-17 719
用户多次密码输入错误达到一定值就会被锁定。查看锁定用户的密码最大输入错误次数。当锁定时连接数据库就会报如下错误。修改密码最大失败次数方法。
Mysql数据库如何限制密码重试次数,避免密码被暴力破解
白杨Shayne的博客
05-14 585
【代码】Mysql数据库如何限制密码重试次数,避免密码被暴力破解。
jupyterlab-sql:JupyterLabSQL GUI
01-30
jupyterlab-sql jupyterlab-sql向JupyterLab添加了一个SQL用户界面: 通过点击界面浏览表 使用自定义查询读取和修改数据库 安装 在JupyterLab 1.x上安装 要安装jupyterlab-sql ,请运行以下命令: pip install ...
x-pack-sql-jdbc-7.9.1.jar
03-04
x-pack-sql-jdbc-7.9.1.jar
go-sql-driver.zip
11-26
在本文中,我们将深入探讨`go-sql-driver.zip`中包含的`go-sql-driver`,这是一个用于Go语言(Golang)的MySQL数据库驱动。这个驱动程序使得在Go应用程序中与MySQL服务器进行交互变得简单而高效。我们将会讨论其版本...
x-pack-sql-jdbc-7.4.2.jar
06-22
x-pack-sql-jdbc-7.4.2.jar jdbc驱动包 x-pack-sql-jdbc-7.4.2.jar jdbc驱动包
SQL弱口令爆破
09-10
SQL弱口令爆破器 1433 自带密码生成器
x-pack-sql-jdbc-7.4.0.jar
05-25
x-pack-sql-jdbc-7.4.0.jar
SQL注入爆库渗透测试(初学者必看)
yi152787的博客
04-30 1918
爆库原理基本一致的,也许站点不同但只要存在sql注入则需要进行数据库爆破,步骤及使用的参数基本相同,对参数不够熟悉的网友可以去某百某博查看相关信息,本次实验结束,本文章仅提供参考,请勿在未授权的情况下进行测试。本次实验利用sqlmap爆破工具对SQL靶场进行渗透测试(数据库爆破),最终目标:拿到用户名和密码,实验中页面出现的用户名密码可忽略,真实实战中一般不会直接爆出用户名和密码的。5.在security爆出users,已确定目标所在,进行第三步爆破 所使用到的参数 -D -T --colimn;
登陆三次错误提示15分钟后再试
u010485019的专栏
06-02 1929
现在很多网站都设有同一个用户名登陆多次后就会限制再次登陆。以下是一种实现方法,需要结合数据库来实现。 1.表设计 Id是一个逻辑主键,UserName用户名,PassWord 密码,LastTime记录登陆上一次登陆失败时间,ErrorTimes记录登陆登陆失败次数 以下是实现代码: wpf的xmal Grid:
SQL盲注之python脚本爆破及sqlmap基础操作
wangringyi的博客
04-09 6135
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录 前言 一、SQL盲注是什么? 二、介绍与使用 1.盲注的三种分类 2.基于报错的盲注 3.基于时间的脚本化盲注 sqlmap的使用 前言 哈,我是爱挖洞的萝卜头,从今天开始来csdn分享学习过过程,学习经历,望各位大佬指教指教,嘿嘿嘿。 一、SQL盲注是什么? 经历过前面的数字型注入,字符型注入,提交方式注入等,我们对sql注入有了基本的...
mysql数据库限制多次登录失败,限定用户重试时间
经典鸡翅
01-06 2217
前言 最近的项目开始进行安全测试,其中有一个安全问题是这样的。 应该增加用户登录失败处理功能,限制非法登录次数。 建议是增加mysql数据库的登陆失败的锁定功能。 相信大家也都会遇到这样的问题,在这里写一下,方便大家直接使用。 设置方法 登录mysql数据库 mysql -u root -p 输入如下命令,安装插件 install plugin CONNECTION_CONTROL soname 'connection_control.so'; install plugin CONNECT
数据库安全管理——用户登录次数限制及锁定(这里指数据库用户)
DSQ_17的专栏
12-09 5392
通过概要文件的设计来进行管理: 具有CREATE PROFILE 系统权限的用户可以创建概要文件: SQL>CREATE PROFILE PWD_PROFILE LIMIT FAILED_LOGIN_ATTEMPTS 3       --尝试三次后,用户被锁定  PASSWORD_LOCK_TIME 10;       --用户被锁定后10天自动解锁 并在创建用户
SQL注入:爆破库、表、字段
qi_SJQ_的博客
11-03 4154
1.MySQL注入:
Transact-SQL语言概述:SQL语言基础知识
Transact-SQL语言是ANSI SQL的加强版语言,提供了标准的SQL命令,并对SQL命令进行了许多扩充,提供类似Basic、Pascal、C等第三代语言的基本功能,如变量说明、程序流程控制语言、函数等。Transact-SQL语言是专门为...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值