被黑客攻击了,登录流程要怎么做才安全

最新推荐文章于 2024-02-18 13:42:14 发布
最新推荐文章于 2024-02-18 13:42:14 发布
阅读量400 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_35974321/article/details/109702710
版权

作者:丁仪

来源:https://chengxuzhixin.com/blog/post/deng_lu_liu_cheng_zen_me_zuo_cai_an_quan.html

 

用户登录是系统中最重要的功能之一,登录成功就能拥有系统的相关使用权限。所以设计一个安全的登录流程是十分必要的。保护用户账号不被黑客窃取,既是在保护用户的基本利益,更是在保护网站的信誉和业务发展。

 

流程安全性

安全的登录流程必须使用 HTTPS 协议。HTTPS 协议具有较高的安全性,可以保证数据传输过程的安全。虽然有 fiddler 等代理方式可以截取数据,但一般情况下没有用户的配合也无法截取。HTTPS 证书可以在阿里云申请,个人站点可以直接用免费版,非常方便。nginx 和 Spring Boot 的配置也非常简单。

登录一定要有人机验证机制,可以防止黑客以暴力破解的方式尝试登录。通常可以用图片验证码,并且图片要加干扰线,使用不同的字体、大小写提高识别难度。目前有打码平台和 AI 方式可以识别图片验证码,但是成本比较高。一些大型网站已经在使用新的验证方式,比如拖动鼠标移动滑块或者把一个倾斜的图片扶正,攻击的难度还是比较高的。

一定要注意防范 XSS、CSRF 攻击。攻击者通过在目标网站上注入恶意脚本,可以在其他用户的浏览器上运行脚本。利用这些恶意脚本,攻击者可获取用户的敏感信息。用户提交的任何数据都要保持怀疑态度,不能完全信任,该过滤就过滤,该拦截就拦截。国内大型网

最低0.47元/天 解锁文章
程序之心丁仪
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
实现登录的过程
weixin_44540247的博客
05-08 3790
一个项目不仅仅要好各个功能所实现的效果,同时也要保证用户的数据安全。登录,在一个项目中是非常重要的,在有些项目中,比如说学校的的一个管理系统,你以不同的身份进入,所看到的、所存储的数据都是不一样的。 我们在登录时所的操作看似简单,其实也是比较复杂的。或许你只是输入一个账号、密码等数据,然后就能跳转到另一个页面,殊不知它经过了多少处理,那么今天就给大家讲一下登录操作是怎样实现的。 要了解登录,...
登录该怎么
转错的弯,走错的路
10-15 246
考虑点 支持三方登录,如微信、QQ、微博等 平台统一登录(账号密码、手机及验证码) 数据库、LDAP Token、JWT、Oauth2、Redis
怎么登陆(单点登陆)功能?
不定时分享最优质的网络技术与教程,满满的干货。
01-04 663
前后端分离避不开的一个问题就是单点登陆,单点登陆咱们有很多实现方式:CAS中央认证、JWT、token等,咱们这种方式其实本身就是基于token的一个单点登陆的实现方案。登陆了,系统就知道这是谁,他有什么权限,可以给他开放些什么业务功能,他能看到些什么菜单?这么长时间了,一直在写业务,这个基础功能反而没怎么好好研究,都忘差不多了。这个登陆方案里用了token + redis,还有JWT,其实用哪一种方案都可以独立实现,并且两种方案都可以用来单点登陆。以目前在接触的一个系统为例,来分析一下登陆该怎么
系统登录如何来
weixin_48501662的博客
01-04 426
这个流程可以用许多不同的技术来实现,包括使用Spring Boot这样的框架来处理Web请求,使用Java Servlet API来处理HTTP请求和响应,以及使用JDBC或ORM框架(如Hibernate)来与数据库交互。以上是一个基本的流程,实际操作中可能需要根据具体需求进行相应的调整和优化。
我们日常登录的窗口怎么呢?
Phosphenes的博客
04-29 423
QQ,微信,LOL,或一些软件都有它的登录界面,而这些登录界面往往包含着用户名,密码,验证码这些选项。这里我们来写一个完整的登录窗口。 public class Chengxu { public static void main(String[] args) { //先创建一个窗口,不过此时创建的是隐藏的。 JFrame jf=new JFrame(); //再设置窗口大小,单位是像素。 ...
Web应用安全:浏览器的如何防御攻击.pptx
06-20
简单来讲,CSRF 攻击就是利用了用户的登录状态,并通过第三方的站点来一些坏事。而且CSRF 攻击并不需要将恶意代码注入用户的页面,仅仅是利用服务器的漏洞和用户的登录状态来实施攻击 1、定义 CSRF(跨站请求伪造...
让我们Web安全测试吧!.pdf
01-02
例如,"我要登录系统"、"我要下单"、"我要上传文件"等常见的用户操作,都可能是安全测试的重点关注点。同时,我们需要保持一种探索和怀疑的态度,对开发者所说的修改范围保持警惕,比如当开发者说只改动了一点点,...
渗透测试全过程记录
12-04
我先感慨一下,在网络安全这些年感觉一直在漂,从05年刚到北京的远东到08年的大连,再到11年的启明,没有一个地方能让人感到是在踏实的安全,对网络安全人才这块也都不重视。从圈内群的好友里得知,有很多技术...
基于等级保护的网络安全技术的应用探究.pdf
09-19
2. **数据安全防护**:大量的企业数据在频繁交换中容易成为黑客的目标。采用等级保护技术,可以增强对关键信息的保护,降低数据在传输过程中的安全风险。 3. **软件安全防护**:企业网站通常由多个软件模块组成,每...
风中有朵英特尔的锅,企图降落 .pdf
09-05
最初,英特尔认为这是一起黑客攻击,但随后的调查显示,实际上是一场内部失误导致的,财报的URL被意外泄露,使得第三方得以访问。虽然英特尔的网络未受损,但此事暴露出其内部流程的漏洞,公司承诺会采取措施防止...
黑客行为之悄悄登录后台
qq_40208605的博客
04-18 1234
6.1.1知识概述 登录界面分析 请求的URL:http://shop.itcast.cn/login/login.html 请求的参数: 第一个参数:reURL=http://shop.itcast.cn/item/itemList.html 第二个参数:username = itcast 第三个参数:password = itcast 登录成功重定向 ① 客户端发起请...
paip.提升用户体验与安全性---注册流程总结
attilax的专栏
09-08 2211
paip.提升用户体验与安全性---注册流程总结     限制用户输入国内TOP100的口令... 1 限制用户输入国外TOP500的口令黑名单... 1 限制输入常用字典黑名单口令... 1 口令长度7---20位... 1 口令为纯小写字母,长度应为12位及以上... 2 口令为纯数字式,长度应为17位及以上... 2 增加口令强度检测UI器(弱,中,强三档)2
黑客登录界面科幻黑色主题网页模板表单验证代码
Web_Student的博客
09-17 3484
黑客登录界面科幻黑色主题网页模板表单验证代码 效果: html代码: <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>Index</title> <style type="text/css"> label { cursor: pointer; color: white; } * {
黑客技术:计时攻击 TIMING ATTACKS
CG国斌的博客
08-03 8796
相信刚看到这段源码的人会感觉挺奇怪的,这个函数的功能是比较两个字符串是否相等,如果要判断两个字符串是否相等,正常人的写法应该是下面这个样子的(来自JDK8 的 `String.equals()`-有删减):
“零时差攻击”—认识黑客瞬时攻击的危险性及特征
温研的专栏 (探索OS内核的奥秘)
06-22 2536
 来自:IT专家网论坛瞬时攻击,也就是我们常看到的“零时差攻击”、“零时攻击”、“0-day”、“Zero-Day”。主要就是指,黑客利用刚刚发现的系统漏洞尚未被修补上的时机发起的攻击。   无论你如何勤勉地修补系统和保护你的电脑,它仍然有可能在未曾预见到的攻击出现后的数个小时内中招。这篇文章将为您讲述零时差攻击的危险性以及它是如何利用安全漏洞的。  在电脑安全方面你并不曾懈怠。你随时
0day攻击,最恐怖的黑客攻击
最新发布
资深程序员,曾自学JAVA,C#,如今从业于网安行业
02-18 1120
在十几年前,零日漏洞是比较少见的。在百万级恶意软件中,可能只有零星几个是零日漏洞相关的恶意软件。那时的零日攻击往往很轻易即可实现诸如远程入侵或取得控制权这样的结果。然而,随着网络安全技术的不断发展,现今单纯依靠一个零日漏洞就想突破防御,几乎是不太可能的,更不要提获得控制权。事实上,当前发动一次APT攻击就要集合数个甚至数十个零日漏洞,以复合攻击方式突破被攻击者的防御。所以,含金量高的零日漏洞卖出天价也是屡见不鲜,这也是催生零日市场的重要原因之一。
区块链的安全问题(乱序时间戳,重入攻击
不思量
11-11 6852
在引入比特币等加密货币时,一个经常提及的概念是支撑着这些加密货币的底层框架——区块链协议非常地安全可靠。各种加密算法保证了区块链的正常运行,区块链中的信息不可篡改、不能删除,基于工作量的证明保证难以有攻击者可以控制网络。在这些良好性质的支持下,加密货币系统得到了快速的发展。 但是,对加密货币的绝对安全的期望是错误的。接下来,我们将看一些具体的例子,查看其中加密货币系统是如何被攻击的。第一个例子,攻...
零时差攻击是什么?其原理是什么?
oldboyedu1的博客
07-04 110
零日漏洞存在于系统或软件应用程序中,只要是该系统或该软件应用程序上的用户都将成为大攻击的目标,因此零日攻击的范围通常相对较大。从传播速度的角度来看,与传播速度相对较快的病毒相比,可以发现病毒爆发之后几个小时内,相关杀毒和防毒系统就会自行作出判断,并将病毒特征码纳入到对比的特征库中。零日漏洞又被叫零时差攻击,是指被发现后立即被恶意利用的安全漏洞。①实时更新补丁和修复漏洞:实时更新系统软件,及时更新漏洞补丁,尽量缩短系统和应用软件中零日漏洞的存在时间,定期扫描和修复系统漏洞,降低系统攻击风险;
用户登录的详细流程(一)
热门推荐
zhuwenaptx的博客
06-21 1万+
** 用户登录的详细流程 ** ** 1.流程概述 ** (1)首先在进行用户登录的时候,要进行一些必要的准备工作。 比如说要对用户登录表进行设计。 一般是userId,userName,phone,password,salt,remark等等。 通常数据库存储的密码是md5进行加密的密文,但也不能直接对登录密码进行md5加密,然后存在数据库中。这样的密文用浏览器上的解密工具很容易就被破解了。一般是用加密盐salt和用户的密码一起加密,而这个salt本质上是随机数。 同样也需要设置加密规则,是怎么加密,是密
Web黑客攻击流程攻击策略
05-26
Web黑客攻击流程攻击策略通常包括以下步骤: 1. 收集目标信息:黑客首先会通过各种方式获取目标网站的信息,包括网站结构、技术架构、操作系统、Web应用程序等。 2. 扫描漏洞:黑客会使用各种工具和技术扫描目标...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值