验证码暴破、撞库

最新推荐文章于 2024-07-16 16:01:09 发布
最新推荐文章于 2024-07-16 16:01:09 发布
阅读量4.3k 收藏 4
点赞数 2
分类专栏: --------【 java 基 础 】 ● 编程语言 文章标签: 验证码
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wangdan199112/article/details/52912153
版权

这里写图片描述
解决思路:
1、每次产生的验证码都做及时清除缓存
2、用户密码做MD5处理
3、用户登录次数限制

@ResponseBody
    @RequestMapping(value = "/login", method = RequestMethod.POST)
    public ApiResult login(@RequestParam(value = "user_name") String user_name, @RequestParam(value = "user_pwd") String user_pwd, @RequestParam(value = "user_code") String user_code) {
        logger.info("登录|UserAdminController|login|params:user_name={},user_pwd={},user_code={}", user_name, user_pwd, user_code);

        try {

            /*加密\登录次数\清除缓存*/
            Integer ticketTimeout = Constant.TICKET_TIMEOUT;
            //从map中获取当前用户登录次数
            Map<String, ContextVo> map = AdminInterceptor.getLoginCount();
            //每五分钟清理用户登录次数
            if (map.size() > 0 && ObjectUtils.isNotNull(map.get(user_name))) {
                bllUserInfoService.removeSession(map, user_name);
            }

            ContextVo loginVo;
            if (ObjectUtils.isNotEmpty(map.get(user_name))) {
                loginVo = map.get(user_name);
            } else {
                loginVo = new ContextVo();
            }
            //是否缓存用户登录次数
            if (ObjectUtils.isNotNull(loginVo.getLoginCount())) {
                //登录次数限制+原子类
                int loginCount = Integer.parseInt(loginVo.getLoginCount().toString());
                if (loginCount >= Constant.LOGIN_COUNT) {//如果登录次数超过5次
                    request.getSession().removeAttribute("login");
                    return ApiResult.build(ResultCode.AUTH_LOGIN_ERROR.getCode(), ResultCode.AUTH_LOGIN_ERROR.getName());
                } else {
                    loginVo.getLoginCount().incrementAndGet();
                }
            } else {
                //用户登录次数
                loginVo.setLoginCount(new AtomicInteger(0));
                loginVo.getLoginCount().incrementAndGet();
                //产生失效时间
                Timestamp createTime = new Timestamp(System.currentTimeMillis());
                Calendar cal = Calendar.getInstance();
                cal.setTime(createTime);
                cal.add(Calendar.SECOND, ticketTimeout);
                Timestamp recoverTime = new Timestamp(cal.getTimeInMillis());
                loginVo.setRecoverTime(recoverTime);
            }

            map.put(user_name, loginVo);

            //每五分钟清理用户登录次数
            if (map.size() > 0 && ObjectUtils.isNotNull(map.get(user_name))) {
                bllUserInfoService.removeSession(map, user_name);
            }
            //验证码
            String validateCode = (String) request.getSession().getAttribute("login");
            logger.debug("=validateCode=={}=", validateCode);
            if (StringUtils.isEmpty(validateCode) || !validateCode.equalsIgnoreCase(user_code)) {
                request.getSession().removeAttribute("login");
                return ApiResult.build(ResultCode.CAPTCHA_ERR.getCode(), ResultCode.CAPTCHA_ERR.getName());
            }

            BllUserInfoVO bllUserInfoVO = new BllUserInfoVO();
            bllUserInfoVO.setUserName(user_name);
            //md5
            user_pwd = DigestUtils.md5DigestAsHex(user_pwd.getBytes());
            bllUserInfoVO.setUserPwd(user_pwd);
            bllUserInfoVO = bllUserInfoService.selectByUserNameAndPassWord(bllUserInfoVO);
            //登录并存入缓存
            if (ObjectUtils.isNotNull(bllUserInfoVO)) {
                Integer userId = bllUserInfoVO.getUserId();
                request.getSession().setAttribute(ContextUtils.SESSIONUTILS, userId.toString());
                logger.info("登录成功,设置session的值为ContextUtils.SESSIONUTILS={}", userId);
                //清除验证码
                request.getSession().removeAttribute("login");
                return ApiResult.build(ResultCode.STATUS_OK.getCode(), ResultCode.STATUS_OK.getName());
            }
            //清除验证码,重新生成(前台调用)
            request.getSession().removeAttribute("login");
            return ApiResult.build(ResultCode.AUTH_LOGIN_FAILED.getCode(), ResultCode.AUTH_LOGIN_FAILED.getName());
        } catch (Exception e) {
            logger.error("登录|UserAdminController|login|params:user_name={},user_pwd={},user_code={},message={},stackTrace={}", user_name, user_pwd, user_code, e.getMessage(), e);
            return ApiResult.build(ResultCode.SYSTEM_EXCEIPTION.getCode(), ResultCode.SYSTEM_EXCEIPTION.getName());
        }
    }
dandanPMO
关注
专栏目录
《WEB安全渗透测试》(15)验证码暴破or账号密码暴破
午夜安全
10-14 2936
《WEB安全渗透测试》(15)验证码暴破or账号密码暴破 这道题目名称叫验证码爆破,是对验证码爆破吗?不对,这种说法是不准确的,这里其实是由于验证码机制存在缺陷,无法起到相应的安全作用(防止账号密码暴力破解),从而恶意用户可以利用工具对用户密码进行暴力破解。所以名称叫账号密码暴力破解更加合适。在真实的渗透测试工作中,图片验证码的问题广泛存在,主要集中在图片验证码绕过、暴力破解、回显、无效、机器识别等方面。使用Burp抓包,可以发现,提交之后一共2次请求......
撞库扫号防范
weixin_34186931的博客
03-08 1013
小胖胖要减肥 · 2014/08/16 18:580x00 背景撞库扫号攻击已经是Top 10 Security Risks for 2014之一,不管你的网站密码保存的额多好,但是面试已经泄露的账号密码,撞库扫号防御还是一个相当重要的环节。之前一篇普及了扫号的基本防止防范和危害。本篇讲详细解决面对技术同步在进步的黑色产品如何更好地防止撞库扫号。由于涉及相关内部策略,也只是抛砖引玉。撞库扫号,无非...
撞库 SDK开发之 AFN等撞库的解决
Jesse0308的博客
04-25 660
做过SDK的开发,相信大家都有遇到过,SDK中使用了AFN,SDWebImage等三方库之后, 接入的方会有撞库的风险, 231 duplicate symbols for architecture arm64 clang: error: linker command failed with exit code 1 (use -v to see invocation) 通过错误提示可能看到,...
深入浅出了解撞库攻击!
最新发布
weixin_51725318的博客
07-16 1122
深入浅出了解撞库攻击!
分享一个验证码暴力撞库漏洞的案例
测试小工
11-02 4397
记录一个验证码暴力破解的案例,安全问题不容忽视呀。 某公司接到用户反馈,应用存在安全漏洞,通过技术手段可以在无手机情况下,获取验证码,直接修改密码成功。如果用户密码被他人修改成功,直接涉及到资产损失问题,无疑是一个非常严重的漏洞。 通过跟用户交流,他是通过暴力撞库的手段,去匹配正确验证码,由于后端服务没有做次数限制,所以可多次试错,通过程序发送请求,很容易就得到正确的验证码,从而修改用户密码。 回过头,看看正常的密码重置流程 进入用户手机号登录页面 点击「忘记密码」 ,输入手机号 接收四位数验证码,填写
常见的三种撞库方法
热门推荐
网易数帆社区博客
11-28 3万+
欢迎访问网易云社区,了解更多网易技术产品运营经验。在安全领域向来是先知道如何攻,其次才是防。在介绍如何防范网站被黑客扫描撞库之前,先简单介绍一下什么是撞库撞库是黑客通过收集互联网已泄露的用户和密码信息,生成对于的字典表,尝试批量登录其他网站后,得到一系列可以登录的用户。因为很多用户在不同网站使用的账号密码大多是相同的,因此黑客可以通过获取用户在A网站的账户从而尝试登录B网站。那么碰见撞库之后,我...
撞库攻击:一场需要用户参与的持久战
whatday的专栏
07-29 1902
一,背景: 用户数据泄露一直是如今互联网世界的一个焦点,从最近的京东撞库抹黑事件,到之前的CSDN,如家用户数据的泄露,服务商和黑客之间在用户数据这个舞台上一直在进行着旷日持久的攻防战。 对于大多数用户而言,撞库可能是一个很专业的名词,但是理解起来却比较简单,撞库是黑客无聊的“恶作剧”,黑客通过收集互联网已泄露的用户+密码信息,生成对应的字典表,尝试批量登陆其他网站后,得到一系列可以登
146-Burp识别验证码暴破密码
09-08
captcha-killer-modified 插件可以与 Burp Suite 结合使用,实现验证码的自动识别和暴破。 captcha-killer-modified 插件的安装和配置 captcha-killer-modified 插件的安装非常简单,只需下载插件 jar 文件,然后...
lhhxs#poc#致远OA A8-v5 无视验证码撞库1
07-25
一、漏洞简介 二、漏洞影响 三、复现过程
撞库攻击最新梳理与预防方式
07-19
3. 实施验证码机制:使用验证码机制,可以阻止撞库攻击。 4. 监控网络流量:监控网络流量,检测可疑的登录活动。 5. 限制登录尝试次数:限制登录尝试次数,可以阻止撞库攻击。 撞库攻击的检测可以通过以下方式: 1...
Android自动获取输入短信验证码库AutoVerifyCode详解
08-29
Android自动获取输入短信验证码库AutoVerifyCode详解 Android自动获取输入短信验证码库AutoVerifyCode是一款功能强大且高效的Android库,旨在帮助开发者快速实现自动获取输入短信验证码的功能。该库提供了多种配置...
网页邮箱撞库
12-13
口令字典,撞库参考 CTF的同学自取 大概有17MB ,多到不敢相信
弱密码词典!!!
08-23
以后会上传更多的好资料,大家支持一下!谢谢!!
撞库是什么
顺其自然~专栏
05-17 274
撞库(Credential Stuffing)是黑客通过收集互联网的信息,生成对应的字典表,尝试批量登录其他网站后,得到一系列可以登录的用户。很多用户在不同网站使用的是相同的帐号密码,因此黑客可以通过获取用户在A网站的账户从而尝试登录B网址,这就可以理解为撞库攻击。撞库可采用大数据安全技术来防护,比如:用数据资产梳理发现敏感数据,使用数据库加密保护核心数据,使用数据库安全运维防运维人员撞库攻击等。
什么是撞库撞库攻击的基本原理
AIwenIPgeolocation的博客
07-08 1595
什么是撞库撞库攻击的基本原理
【末世旅行之渗透测试】局域网内字典破解3389远程桌面
末世旅行
10-06 4674
过程:通过扫描局域网内私有IP已开启远程桌面的计算机,利用Hydra进行字典密码尝试
常见的撞库及防撞库方案
IT_Wallace的博客
07-06 5232
问题: 什么是撞库? 回答: 撞库是黑客通过收集互联网已泄露的用户和密码信息,生成对应的字典表,尝试批量登陆其他网站后,得到一系列可以登录的用户。很多用户在不同网站使用的是相同的帐号密码,因此黑客可以通过获取用户在A网站的账户从而尝试登录B网址,这就可以理解为撞库攻击。 问题: 常见的撞库有哪些呢?怎么防撞库呢? 回答: 先介绍一下黑客可能怎么攻击网站,黑客可以通过穷举法来穷举用户/管理员的账户/...
IOS 初级开发入门教程(一)介绍篇
csdn_aiyang的博客
08-22 2万+
导读        目前移动端开发市场上引导开发者追求技多不压身,一个全栈开发者至少要懂后台服务器、数据库、Android、web、ios开发等。“一超多强”是指开发者先成为一门技术的专家然后掌握了解多门技术,这是一种好的发展趋势,另外,这种技多不压身我认为当开发者更适合发展成为Leader管理岗位,随着年龄慢慢变大,成家立业后,基层单一码农已晋升之路受到阻碍了,作为项目经理或总监的时候,需要你
第二章:网络攻击原理与常用方法
master_jian的博客
10-12 4298
一、思维导图: 二、本章大纲要求 2.1 网络攻击概述 •网络攻击概念•网络攻击模型•网络攻击发展演变 2.2 网络攻击一般过程 •隐藏攻击源 •收集攻击目标信息 •挖掘漏洞信息 •获取目标访问权限 •隐蔽攻击行为 •实施攻击 •开辟后门 •清除攻击痕迹 2.3 网络攻击常见技术方法 •端口扫描 •口令破解 •缓冲区溢出 •恶意代码(计算机病毒、网络蠕虫、特洛伊木马等) •网站假冒 •网络钓鱼 •拒绝服务 •网络嗅探 •网络窃听 •SQL注入攻击 •社交工程方法 •会话劫持 •漏洞扫描 •代理技术 •数据
登录界面验证码图片破损
07-11
1. 刷新页面:有时候验证码图片破损是由于网络问题或加载错误导致的,尝试刷新页面,看是否能够重新加载正确的验证码图片。 2. 清除缓存和Cookie:有时候浏览器缓存或存储的Cookie可能会导致验证码加载错误,您可以...
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值