java解决撞库的问题_Web安全开发之验证码设计不当引发的撞库问题

最新推荐文章于 2022-07-08 13:41:19 发布
最新推荐文章于 2022-07-08 13:41:19 发布
阅读量468 收藏
点赞数
文章标签: java解决撞库的问题
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_31075273/article/details/114597182
版权

感谢某电商平台安全工程师feiyu跟我一起讨论这个漏洞的修复。以往在安全测试的过程中后台经常存在验证码不失效果造成的撞库问题,甚至在一些银行或者电商的登录与查存页面同样存在这个问题,一旦造成撞库无论对用户账号的安全性还是网站的负载都是巨大的挑战。其实造成问题的原因并不复杂,主要是研发在开发过程中缺少对安全的认知,造成的疏忽。

今天心血来潮自己写了个验证码来模拟下出现的问题,首先我们从前端页面开始分析:

验证码图片:captcha.php?r= width="100" height="30" /> 换一个

输入内容:

可以看出验证码是通过captacha.php来生成。

我们节选captacha.php的关键部分来分析:

$_SESSION['authcode']=$captch_code;

我们把生成的captch_code以文字形式存在一个临时的session中。

并在前端表单提交后,在form.php中验证POST的验证码是否与Session中的值一致。

if(isset($_REQUEST['autocode'])){

session_start();

if(strtolower($_POST['autocode']) == $_SESSION['authcode']){

echo 'right';

}else{

echo'wrong';

最低0.47元/天 解锁文章
王洛堇
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
深入浅出了解撞库攻击!
A_991128a的博客
01-02 1476
有人的地方就有江湖,有账号的地方就有撞库。密码制度本身因安全需求而生,却也带来了撞库这类的风险。我们相信,未来密码会越来越多的被其他体验更好、安全性更高的身份校验方式所取代,而这些方式或许又存在隐私、合规相关的问题。最好的方案似乎永远要在安全、便利、隐私这几个因素之间互相平衡。着眼于当下,用户名/密码的形式依然主导着绝大多数站点的账号管理方式,因此以撞库攻击为代表的账号安全问题依然需要引起个人用户和企业的足够重视。希望本文能够给您带来一些参考和帮助,共同建设更安全的互联网!
探讨一下如何防止撞库
clearloveandpromise的博客
06-18 2591
前段时间做了一个小外包,由于对方把腾讯云的服务器密码设置的太过简单,然后腾讯云上就收到预警,提示风险,结果没过一会,系统就被植入了挖矿脚本,不过说来也巧,前段时间的博主的小伙伴的公司也受到了比特币勒索,那么今天就来谈一下如何防止撞库。 以前著名的xxdn的账号也曾发生过密码泄露了,黑用户的信息之后然后拿着用户的信息去别的平台去尝试登陆,从而造成经济损失,因为用...
什么是撞库撞库攻击的基本原理
AIwenIPgeolocation的博客
07-08 1502
什么是撞库撞库攻击的基本原理
常见的三种撞库方法
网易数帆社区博客
11-28 3万+
欢迎访问网易云社区,了解更多网易技术产品运营经验。在安全领域向来是先知道如何攻,其次才是防。在介绍如何防范网站被黑客扫描撞库之前,先简单介绍一下什么是撞库撞库是黑客通过收集互联网已泄露的用户和密码信息,生成对于的字典表,尝试批量登录其他网站后,得到一系列可以登录的用户。因为很多用户在不同网站使用的账号密码大多是相同的,因此黑客可以通过获取用户在A网站的账户从而尝试登录B网站。那么碰见撞库之后,我...
弱密码词典!!!
08-23
以后会上传更多的好资料,大家支持一下!谢谢!!
生成验证码_java代码
10-28
验证码在IT领域中是一种常见的安全机制,主要用于防止自动化的机器人或恶意软件进行非法操作,比如批量注册、恶意登录等。...通过学习和理解这个项目,可以加深对Java Web开发的理解,并掌握验证码这一重要的安全机制。
Web安全培训ppt(适合初学者)
10-31
2、web面临的主要安全问题(2天) 客户端:移动APP漏洞、浏览器劫持、篡改 服务器:DDos攻击、CC攻击、黑客入侵、业务欺诈、恶意内容 3、常用渗透手段(3天) 信息搜集:域名、IP、服务器信息、CDN、子域名、...
基于Web(java)开发的BBS论坛
12-06
【基于WebJava开发的BBS论坛】 BBS,全称Bulletin Board System,中文名为电子公告板系统,是一种早期的互联网交流平台。在Web技术的推动下,BBS论坛逐渐演变为基于Web的交互式讨论社区,用户可以通过浏览器...
JAVA课程设计报告《新闻发布系统》.docx
06-20
JavaWeb程序设计课程设计报告——新闻发布系统】 本报告详细阐述了一个基于JavaWeb技术的新闻发布系统的设计与实现,旨在提供一个高效、用户友好的在线新闻发布平台。随着互联网的普及,新闻发布系统已成为网络...
计算机软件毕业设计_电子论坛系统_计算机毕业设计源码_计算机毕业设计源代码.rar
最新发布
05-19
这一设计对于计算机软件专业的学生来说,是一次宝贵的实践机会,能深入理解Web应用开发的全过程。 首先,电子论坛系统的核心模块之一是用户管理。这包括用户的注册、登录、个人信息管理等功能。在设计时,我们需要...
撞库风险总结的内容
06-29
撞库风险总结的内容
验证码暴破、撞库
变是永远不变的......
10-24 4358
解决思路: 1、每次产生的验证码都做及时清除缓存 2、用户密码做MD5处理 3、用户登录次数限制@ResponseBody @RequestMapping(value = "/login", method = RequestMethod.POST) public ApiResult login(@RequestParam(value = "user_name") String
倾家荡产、隐私全无?独家揭秘撞库攻击!
热门推荐
02-01 10万+
1. 撞库的原理和危害 “撞库”(Credential Stuffing Attack)在网络安全中是一个古老的概念,按中文的字面意思解读,就是“碰撞数据库”的意思。“碰撞”意味着碰运气,即不一定能成功;而“数据库”中往往存储着大量敏感数据,比如我们登录一个网站所需要的用户名、密码,再比如手机号、身份证号等个人隐私信息。“撞库”在英文中的表述为 Credential Stuffing(密码嗅探),也非常直白的说明了撞库的主要场景:试图获取正确的账号/密码组合,大白话就是“盗号”。 现实中发生的撞库攻击主要是
一个简单的HTTP暴力破解、撞库攻击脚本
帮你无忧
08-16 1万+
htpwdScan 是一个简单的HTTP暴力破解、撞库攻击脚本: 支持批量校验并导入HTTP代理,低频撞库可以成功攻击大部分网站,绕过大部分防御策略和waf 支持直接导入互联网上泄露的社工库,发起撞库攻击 支持导入超大字典 其他细微功能:随机X-Forwarded-For、随机SessionID,支持Basic Auth,支持MD5 Hash等 下面是几个简单示例HTTP Basic认证htpwdS
常见的撞库及防撞库方案
IT_Wallace的博客
07-06 5178
问题: 什么是撞库? 回答: 撞库是黑客通过收集互联网已泄露的用户和密码信息,生成对应的字典表,尝试批量登陆其他网站后,得到一系列可以登录的用户。很多用户在不同网站使用的是相同的帐号密码,因此黑客可以通过获取用户在A网站的账户从而尝试登录B网址,这就可以理解为撞库攻击。 问题: 常见的撞库有哪些呢?怎么防撞库呢? 回答: 先介绍一下黑客可能怎么攻击网站,黑客可以通过穷举法来穷举用户/管理员的账户/...
撞库详解
chen__an的博客
05-10 1万+
撞库攻击是如今最常见的攻击,给企业带来巨大威胁。撞库带来的威胁往往不是直接的,但是由此造成的信息泄露以及进一步的渗透与攻击会更为严重。Akamai的报告显示,2018年五月到十二月期间,共发生了约280亿次撞库攻击,其中零售网站是遭遇攻击最多的,累计超过100亿次。 很多企业已经开始注重防范撞库攻击,但可能并不清楚撞库攻击已经形成了一条完整产业链。近日,Recorded Future发布了一份撞...
Web安全开发验证码设计不当引发撞库问题
weixin_30920513的博客
11-21 109
  感谢某电商平台安全工程师feiyu跟我一起讨论这个漏洞的修复。以往在安全测试的过程中后台经常存在验证码不失效果造成的撞库问题,甚至在一些银行或者电商的登录与查存页面同样存在这个问题,一旦造成撞库无论对用户账号的安全性还是网站的负载都是巨大的挑战。其实造成问题的原因并不复杂,主要是研发在开发过程中缺少对安全的认知,造成的疏忽。  今天心血来潮自己写了个验证码来模拟下出现的问题,首先我们从前端页...
输入6位数验证码的实现原理
able_me的博客
07-23 2816
<template> <view> <view class="Box"> <view class="Get_the_prize"> <view class="Award_name">输入验证码</view> <view class="Award_input"></view> </view> <!-- 6位验证码第二版开始 --> <v.
OpenAPI安全认证库(Java开发指南
"OpenAPI安全认证库(Java开发指南V1.1.3_20200114193449.pdf,这是一份详细介绍了如何使用OpenAPI安全认证库来实现Java应用程序对OpenAPI的HTTP接口进行安全调用的文档。文档内容包括了库的介绍、运行环境、更新...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值