用户登录限制(防止爆破登录漏洞)

已于 2022-04-13 09:27:26 修改
阅读量1.5k 收藏 6
点赞数
分类专栏: 爆破登录 登陆限制 HttpSession 文章标签: java
于 2022-04-13 09:26:53 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48507846/article/details/124139782
版权

前言

针对用户登录未作限制,批量爆破成功密码登陆系统的漏洞问题。
将以下个方法再嵌入你登录方法里面的合适位置。
下面是我嵌入位置参考:

@RequestMapping(value = "/login", method = RequestMethod.POST)
    public @ResponseBody
    String loginPost(HttpServletRequest request, HttpServletResponse response,
                     HttpSession session) {
        Integer socketProt = properties.getObmSocketPort();String socketIP = properties.getObmServiceIp();
        String username = request.getParameter("username");
        String password = request.getParameter("password");

        ObmUser ou = null;
        try {
          	//获取当前登录用户信息
            ou = monitor.selectObmUserByUsername(CryptJsUtil.decrypt(username, KEY, IV));
        } catch (Exception e) {
            e.printStackTrace();
        }
        if (ou != null) {
            String userN = ou.getUsername();
            String result = null;
            try {
                //第一个嵌入位置:效验账号是否锁定
                if(!checkLock(session, userN)) {
                    return "该账号已被锁定5分钟!"
                }
                result = userService.login(CryptJsUtil.decrypt(username, KEY, IV), CryptJsUtil.decrypt(password, KEY, IV));
            } catch (Exception e) {
                e.printStackTrace();
            }
            if ("登录失败!".equals(result)) {
            	//第二个嵌入位置:新增用户登录失败次数
                addFailNum(session, userN);
                return "登录失败!";
            } else {
                try {
                    logservice.save(new Log(ou.getId(), ou.getName() + "登录系统", Utils.parseDate()));
                } catch (ManagerException e1) {
                    e1.printStackTrace();
                }
                session.setAttribute("user", ou);
                session.setAttribute("socketIP", socketIP);
                session.setAttribute("socketProt", socketProt);
                //第三个嵌入位置:清理用户登录失败的记录
                cleanFailNum(session, userN);
                return "true";
            }
        }
        return "当前用户不存在!";
    }

代码实现

1.校验用户登录失败次数

num为登录次数
timeDifference 为锁定时间(min)
两个变量可以动态配置

/**
     * 校验用户登录失败次数
     * @param session
     * @param user
     * @return
     */
    private boolean checkLock(HttpSession session, String user) {
        Object obj = session.getServletContext().getAttribute(user);
        if (obj == null) {
            return true;
        }
        JSONObject json = JSON.parseObject(JSON.toJSONString(obj));
        Integer num = json.getInteger("num");
        Date date = json.getDate("lastDate");
        long timeDifference = ((new Date().getTime() - date.getTime()) / 60 / 1000);
        return num < 5 || timeDifference >= 2;
    }

2.新增用户登录失败次数

/**
* 新增用户登录失败次数
 * @param session
 * @param user
 */
private void addFailNum(HttpSession session, String user) {
    Object obj = session.getServletContext().getAttribute(user);
    JSONObject json;
    int num = 0;
    if (obj == null) {
        json = new JSONObject();
    } else {
        json = JSON.parseObject(JSON.toJSONString(obj));
        num = json.getInteger("num");
        Date date = json.getDate("lastDate");
        long timeDifference = ((new Date().getTime() - date.getTime()) / 60 / 1000);
        if (timeDifference >= 5) {
            num = 0;
        }
    }
    json.put("num", num + 1);
    json.put("lastDate", new Date());
    session.getServletContext().setAttribute(user, json);
}

3.新增用户登录失败次数

/**
* 新增用户登录失败次数
* @param session
* @param user
*/
private void addFailNum(HttpSession session, String user) {
   	Object obj = session.getServletContext().getAttribute(user);
  	 JSONObject json;
  	 int num = 0;
   	if (obj == null) {
   	    json = new JSONObject();
 	  } else {
  	     json = JSON.parseObject(JSON.toJSONString(obj));
   	    num = json.getInteger("num");
   	    Date date = json.getDate("lastDate");
     	  long timeDifference = ((new Date().getTime() - date.getTime()) / 60 / 1000);
    	   if (timeDifference >= 5) {
        	   num = 0;
     	  }
  	 }
  	 json.put("num", num + 1);
 	  json.put("lastDate", new Date());
  	 session.getServletContext().setAttribute(user, json);
}

总结

防止爆破登录的解决方案之一,优点在于不用操作数据库,对项目爆破登录漏洞进行解决,通过HttpSession会话作用域进行用户以及登录次数进行存储记录(登录次数以及账户锁定时间可以动态配置)。其缺点是更换浏览器登录,登陆限制次数将重新记录。
这种实现方式比较简单,适合维护现场要求不高的项目。爆破登录也可以通过采用验证码机制,在设置验证码的时候一定和用户名密码一块在服务器端做校验,同时要保证验证码的时效性,一个验证码只能使用一次,使用完之后,立马销毁。
巴特罕
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Burp爆破Burp爆破 常用用户名字典
03-22
简单学习使用的Burp爆破 常用 常见 用户名字典
常用爆破用户名字典top500
最新发布
05-29
常用爆破用户名字典top500,爆破字典中常用的用户名,用户名数量不多,但都是使用频率较高的。
web应用防止登录爆破
拾年的博客
02-27 849
问题 登录无错误限制,均可以无限制的尝试登录 解决方法 增加登录错误计数 达到一定数量就禁止用户登录一定时间 列子 @Aspect @Component public class SysUserAspect { public static final List<String> methods = new ArrayList<>(); //这里写上方法名 static { methods.add("login"); } @Resou
Web登陆防爆破的原理和实现
weixin_30794491的博客
02-21 976
0、写在前面 本来只想做个验证码的功能实现,后来想想光要验证码也不行,干脆写整个防爆破的实现吧 1、防护软件/硬件Waf/Web服务器限制单IP固定时间段的登陆频率 1.1 作用 通过WAF可以实现某一个IP访问频率过高时则将此IP加入黑名单一段时间 通过Nginx等Web服务器可以实现限制单IP固定时间段的登陆频率,也就是限制流量 可以防爆破的同时一定程度上防止DDo...
漏洞复现篇:ssh爆破
m0_65615852的博客
04-18 1538
漏洞复现篇:ssh爆破(非常详细的ssh爆破过程)
管理端防止登录爆破限制密码输入次数逻辑
weixin_39966115的博客
01-17 1398
管理端防止登录爆破限制密码输入次数逻辑 校验登录账号是否锁定 校验账号密码是否正确 登录成功清空登陆次数和登录时间缓存,登录失败 获取登录次数缓存,为空创建登录次数缓存, 登录次数+1,次数超过n次记录登陆时间。 注意校验登录账号是否锁定需要在账号密码校验前面,不可和第三步合并,合并如果碰到登录爆破会把数据库弄崩溃。 ...
Asp.net安全架构之4:Brute force(爆破
weixin_34138056的博客
06-13 122
原理 爆破是对系统的登录入口发起不间断的请求,达到暴力破解的目的。 实际案例 某系统存在爆破攻击点,只要模拟以下攻击,就能采用字典破解法,根据分析发现,只要返回状态为302的,为用户名密码正确,也就是被爆破了,状态为200的,为用户名密码错误。 在攻击的过程中,我们只要准备好字典,就能顺利实现爆破。像用户名为luminji,密码为123456这样的用户很容易就会被爆破掉。 请求: PO...
防SSH爆破
Fly_鹏程万里
10-24 1152
确定遭受SSH爆破攻击 当你在linux当中输入“lastb”命令之后,发现类似于以下特征的情况(大量的单一IP地址使用SSH尝试登录,并且时间点比较敏感)那么说明,你已经遭受到了SSH暴力破解攻击 如何防范SSH暴力破解攻击 1、将默认端口22改为自定义的端口号(端口号任意,但是不要使用一些比较容易猜测的端口号) 2、使用非root用户登录 3、SSH端口不对外开放 4、限制登录IP...
漏洞扫描器之敏感目录爆破.pdf
08-20
漏洞扫描器之敏感目录爆破.pdf
基于机器学习的登录验证码爆破工具
05-08
基于机器学习的登录验证码爆破工具提供了两种工作模式:本地运行模式和远程服务运行模式。 不管是本地运行模式还是远程服务运行模式都需要安装服务端和客户端。 服务端为机器学习模块,该模块主要在...
南方数据漏洞爆破工具.rar
06-01
适合刚学网站渗透的新手、每天弄几个shell应该不是问题!详细用法见工具上说明,此工具为易语言打造,你懂的!
登陆接口的设计+springboot防暴力破解
huangjiangmin
04-24 1670
安全——敏感词过滤 你写的登陆接口安全吗?
登录密码爆破
gl620321的博客
08-11 5998
一、登录密码爆破 1.登录猜解猜解用户密码爆破属于撞库一类。通过弱口令字典暴力尝试登陆达到猜解用户密码。 2.一般登陆都要验证码,而突破验证码主要有两种: 绕过严重码 自动识别验证码 管理院权限登陆 开启了session,随机生成了一串字符串 查看登陆检测,判断是否开启传输了三个post 存在的话去判断验证码 验证码要是和session的不同,它就回到login这个页面 匹配的话,...
Flink CEP 爆破登录
cts618
06-11 290
需求说明:在这个案例中,我们需要找出那些 5 秒钟内连续登录失败的账号,然后禁止用户再次尝试登录需要等待 1 分钟。
网络安全专栏——逆向入门爆破登录学习(图文)
MZH
11-26 8255
步骤系列文章前言1.需要的软件资源2.用调试器解析软件2.用调试器打开程序3.找到关键的登录判断部分4.导出补丁持久化保存胜利成果5.测试一下效果附录.引用资料总结 系列文章 提示:转到网络安全专栏,观看更多内容! 点我直达–>网络安全专栏 前言 学习网络安全,首先得知道敌人是如何出手,如何攻击的,才能有针对性的防御。郑重声明,逆向学习的初衷是为了实现网络安全,大家不要用于非法用途,尊重知识产权。 本文根据果核的逆向教程制作,使用了果核的软件资源。 怎么说呢,软件都是根据源码编译而成的,软件正常的登
java cs退出到登录页面,java实现用户自动登录
weixin_27653327的博客
03-10 206
自动登录,是为了帮助用户多次使用这个网页时,不用再次输入用户名和密码就可以登录。自动登录是指用户用户登录信息,人,保存到本地的文件中Cookie中。Name,value -声明时 new Cookie(key,value);Path-默认值,即为当前保存cookie的这个serlvet所在的路径。如果Cookie在这样的路径:http://loclhost:8080/project/abc/A...
记一次实战前端登录爆破绕过技巧-网络安全(黑客)自学
MachineGunJoe666
03-15 1299
1.刚才的实战其实也是有运气的成分,因为yzm识别插件并不是百分百成功识别,当我们遇到正确的密码但是验证码却识别失败的话就很蛋疼,所以我们可以编写脚本,在系统提示验证码失败的时候我们可以把这个密码在丢回去继续爆破,这样就能达到百分百跑完我们的字典,师傅们可以研究下,这个基本是这种爆破用的基本模板吧,可以自己根据实际情况更改,这里就不多说了,。@#这类的,但是他的登录口是做了前端编码,验证码也是需要识别的,一般很多不会前端编码破解和验证码识别的师傅都会跳过了直接,这里给大家演示下如何使用上面装的插件工具。
前端安全问题——暴破登录
Jack, what else can you do besides holding your little darling?
03-22 2231
声明:本文仅供学习和研究用途,请勿用作违法犯罪之事,若违反则与本人无关。暴力破解登录是一种常见的前端安全问题,属于未授权访问安全问题的一种,攻击者尝试使用不同的用户名和密码组合来登录到受害者的账户,直到找到正确的用户名和密码组合为止。攻击者可以使用自动化工具,如字典攻击、暴力攻击等来加快攻击速度。这种攻击通常针对用户使用弱密码、没有启用多因素身份验证等情况。
python爆破登录验证码demo
渗透测试
07-05 244
识别验证码使用的是ddddocr库》》》https://github.com/sml2h3/ddddocr。识别效果不错,看截图(但因仅限这种)参数四:指定获取验证码数据包。参数一:指定登录数据包。参数二:指定用户字典。参数三:指定密码字典。
shell远程登录爆破
09-09
远程登录爆破是一种尝试通过暴力破解远程登录凭据(用户名和密码)来获取未经授权访问的行为。然而,我强烈不建议使用远程登录爆破的方法,因为它是非法的,并且违反了网络安全准则。 使用远程登录爆破工具来暴力破解密码是一种不道德且非法的行为。这种行为不仅会给目标系统和网络带来风险,还可能导致法律后果。远程登录爆破攻击可以很容易地被检测到,并且合理配置的系统通常会有防御措施来防止这种攻击。 相反,为了确保远程登录的安全性,我建议使用更安全的远程登录方式,比如SSH(Secure Shell)协议。SSH提供了加密的通信通道,可以有效地防止密码被窃听或破解。 使用SSH可以提供更高的安全性,并建议在生产环境中使用。与rlogin相比,SSH提供了更强大的身份验证和加密功能,能够更好地保护远程登录的安全性和机密性。此外,使用SSH还可以避免可能出现的网络连接问题和配置方面的困扰。 总而言之,远程登录爆破是一种不道德且非法的行为,应该避免使用。相反,应该考虑使用更安全的远程登录方式,如SSH,以确保远程登录的安全性和正确性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值