Java redis 暴力破解漏洞 简单限制用户登录

最新推荐文章于 2023-11-27 13:57:37 发布
最新推荐文章于 2023-11-27 13:57:37 发布
阅读量311 收藏
点赞数
文章标签: java redis 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhongzih/article/details/130932111
版权

漏洞名称:暴力破解漏洞
处理方案 redis 设置对应的缓存有效期为60秒
然后每次登录的时候查询登录失败次数
超过5次不查询数据库,直接返回报错

@Configuration
@EnableCaching
public class RedisConfig implements Serializable {
 


    /**
     * 最新版,设置redis缓存过期时间
     */

    @Bean
    public RedisCacheManager cacheManager(RedisConnectionFactory redisConnectionFactory) {
        return new RedisCacheManager(
                RedisCacheWriter.nonLockingRedisCacheWriter(redisConnectionFactory),
                this.getRedisCacheConfigurationWithTtl( 60*60), // 默认策略,未配置的 key 会使用这个
                this.getRedisCacheConfigurationMap() // 指定 key 策略
        );
    }

    private Map<String, RedisCacheConfiguration> getRedisCacheConfigurationMap() {
        Map<String, RedisCacheConfiguration> redisCacheConfigurationMap = new HashMap<>();
 
        //自定义设置缓存时间
 
        redisCacheConfigurationMap.put("loginFailNum", this.getRedisCacheConfigurationWithTtl(60*1));
        return redisCacheConfigurationMap;
    }

    private RedisCacheConfiguration getRedisCacheConfigurationWithTtl(Integer seconds) {
        Jackson2JsonRedisSerializer<Object> jackson2JsonRedisSerializer = new Jackson2JsonRedisSerializer<>(Object.class);
        ObjectMapper om = new ObjectMapper();
        om.setVisibility(PropertyAccessor.ALL, JsonAutoDetect.Visibility.ANY);
        om.enableDefaultTyping(ObjectMapper.DefaultTyping.NON_FINAL);
        jackson2JsonRedisSerializer.setObjectMapper(om);
        RedisCacheConfiguration redisCacheConfiguration = RedisCacheConfiguration.defaultCacheConfig();
        redisCacheConfiguration = redisCacheConfiguration.serializeValuesWith(
                RedisSerializationContext
                        .SerializationPair
                        .fromSerializer(jackson2JsonRedisSerializer)
        ).entryTtl(Duration.ofSeconds(seconds));

        return redisCacheConfiguration;
    }
}


	//登录的时候查询登录失败次数
 	@Override
    @Cacheable(value = "loginFailNum",key = "'loginFail_' + #mobilePhone")
    public Integer getLoginFail(String  mobilePhone) {
        return 0;
    }
	// 失败次数加一
    @Override
    @CachePut(value = "loginFailNum",key = "'loginFail_' + #mobilePhone")
    public Integer setLoginFail(String  mobilePhone,Integer loginFailNum) {
        return loginFailNum + 1;
    }

@RequestMapping(value = "/login", method = RequestMethod.POST)
    @JSON(type = Admin.class)
    public AdminVo login(
            @RequestParam
            @NotBlank(message = "手机不能为空") String mobilePhone,
            @RequestParam
            @NotBlank(message = "密码不能为空") String password ) {
//        tokenService.deleteUser(mobilePhone);
        Integer value = tokenService.getLoginFail(mobilePhone);
        if (value == null || value >= 5) {
            throw new BusinessException(ResultCode.FAIL);
        }
        List<Admin> list= xxxDao.loginAdmin(mobilePhone, password);
        if (null == list|| list.isEmpty()) {
            tokenService.setLoginFail(mobilePhone,value);
            // 登录失败
        } else {
            // 登录成功
        }
    }
zhongzih
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SpringBoot+Redis如何实现用户输入错误密码后限制登录
01-31
为了防止暴力破解和恶意攻击,我们需要在用户尝试登录失败一定次数后限制其登录。这不仅可以保护用户的账户安全,还可以减轻服务器的压力。在本文中,我们将使用Spring Boot和Redis来实现这个功能。 首先,我们需要...
java防止暴力破解用户名的5种常见方法
qq_42565292的博客
08-08 4425
系统的账号密码如果被破解了,对我们的整个系统都是巨大隐患。 通常情况下,我们会使用以下方法阻止黑客破解账号密码: 1、网站管理入口禁止使用弱口令帐号,建议使用复杂口令,比如:大小写字母与数字的组合,口令长度不小于8位等; 2、验证码在服务端校验; 3、建议采用防高频策略,针对同一IP短时间内的高频请求进行限时锁定; 4、第三方WEB防火墙来加固整个网站系统。 具体操作: 方案1 在前端或后台对密码进行校验 前端校验 java后台校验 方案2 从java后台做一个验证码给前端展示,在java后台进行校验验证码
数据库攻防之Redis
m0_71745754的博客
01-17 1055
Redis(Remote Dictionary Server)是一个由 Salvatore Sanfillppo 写的 key-value存储系统。是一个开源的使用 ANSI C 语言编写、遵守 BSD 协议、支持网络、可基于内存、分布式、可选持久性的键值对(Key-Value)存储数据库,并提供多种语言的API。通常被称为数据结构服务器,因为值(value)可以是字符串(string)、哈希(hash)、列表(list)、集合(sets)和有序集合(sortedsets)等类型。
Spring项目使用Redis限制用户登录失败的次数以及暂时锁定用户登录权限
openallzzz
08-17 2004
登录业务预先判断了该账号是否被锁定,如果短期内有大量登录请求(用户不断试错、被恶意攻击),压力只会给到Redis,从而避免DB被大量请求打中。
Redis 安全汇总小结
snowlyzz的博客
01-30 685
详细介绍Redis的未授权访问漏洞以及其他利用
SSRF+Redis认证攻击(暴力破解
qq_43665434的博客
04-03 1294
SSRF+Redis认证攻击(暴力破解) 随风潜入夜,润物细无声。 实验环境 主机 角色 描述 centos8 受害服务器 运行redis数据库(含认证密码) window10 跳板服务器 含有ssrf漏洞 kali 攻击者 利用ssrf+redis暴力破解获取centos8的shell 工具: Redis nc wireshark tcpdump python3 实验流程 登录redis设置认证密码: config set requirepass qianxun con
java巧用redis,三分钟内登录失败5次,锁定账户5分钟
ITLYL的博客
11-11 3510
java巧用redis,三分钟内登录失败5次,锁定账户5分钟
使用redis管理用户登录会话的方法
09-09
使用Redis管理用户登录会话是一种高效且安全的策略,它能够减少服务器的内存负担,并提高系统的响应速度。Redis是一个内存数据库,特别适合处理快速读写操作,如存储和检索用户的登录信息。本文将深入探讨如何利用...
基于Redis实现每日登录失败次数限制
09-09
【基于Redis实现每日登录失败次数限制】的知识点详解 Redis是一种高效的内存数据结构存储系统,常用于缓存、消息队列、计数器等多种场景。在这个问题中,我们利用Redis来实现每日登录失败次数限制的功能,以防止...
java操作redis
12-25
5. **列表操作**:在Java中处理Redis的列表也很简单,例如,向列表添加元素: ```java jedis.lpush("myList", "item1", "item2"); ``` 6. **集合操作**:对于集合,可以使用`sadd`和`sget`等方法: ```java ...
Redis实现登录限制
qq_71695227的博客
05-10 455
Redis 登录 限制 3 次后 多少秒后才能登录
学习笔记暴力破解漏洞分析
明哥哥知识分享
08-30 3682
暴力破解 概念 暴力破解,其实就是利用大量猜测和穷举的方式来尝试获取用户口令的攻击方式,如果身份验证模块设计的不好攻击者可以利用自动化攻击进行暴力破解,大大增加了密码被破解的风险。 暴力破解的测试方法是针对账号和或密码进行逐一比较,直到找到正确的账号和密码。 一般分为三种情况: 在已知账号的情况下,加载密码字典针对密码进行穷举测试; 在未知账号的情况下,加载账号字典,并结合密码字典进行穷举测试; 在未知账号和密码的情况下,利用账号字典和密码字典进行穷举测试 测试流程 暴力破解测试场景 账户探测 探测存在
Spring Boot + Redis: 实现密码暴力破解
2301_79125642的博客
08-13 47
public class Solution { /** * 代码中的类名、方法名、参数名已经指定,请勿修改,public class Solution { /** * 代码中的类名、方法名、参数名已经指定,请勿修改,class Solution { public: /** * 代码中的类名、方法名、参数名已经指定,请勿修改,直接返回方法规定的值即可。#晒一晒我的offer# #牛客解忧铺# #牛客在线求职答疑中心# #晒一晒我的offer# #我的求职思考#
基于Redis实现限制登录功能
Hello World
07-25 1558
title具体代码实现 需求: 用户在2分钟内,仅允许输入错误密码5次。 如果超过次数,限制其登录1小时。(要求每登录失败时,都要给相应提式) 思路: **1、**判断当前登录的用户是否被限制登录     1.1如果没有被限制(执行登录功能) 2、 判断是否登录成功     2.1登录成功–>(清除输入密码错误次数信息)     2.2登录不成功    
redis安全攻防(专注渗透视角)
LainWith的博客
04-11 2927
数据库作为业务平台信息技术的核心和基础,承载着越来越多的关键数据,渐渐成为单位公共安全中最具有战略性的资产,数据库的安全稳定运行也直接决定着业务系统能否正常使用。并且平台的数据库中往往储存着等极其重要和敏感的信息。这些信息一旦被篡改或者泄露,轻则造成企业经济损失,重则影响企业形象,甚至行业、社会安全。可见,数据库安全至关重要。所以对数据库的保护是一项必须的,关键的,重要的工作任务。
Redis - 利用lua脚本控制密码错误次数超限,锁定账号
记录者的博客
08-09 787
血的教训------入侵redis之利用python来破解redis密码
最新发布
guijianchouxyz的博客
11-27 526
利用强大的python来进行redis的密码破解,过程不亦乐乎,当然也可以用shell脚本,不停的循环密码来撞库也可以实现其他相关联的文章这里使用的是kail系统,主要原因有两点,1、可以吸引下大家,2、上面直接就有python,不用自己安装,当然了,咱这用的是python2也可以,普通的linux服务器上面也有,所以主要的原因就是第一点吧,哈哈哈哈。
蓝桥杯Java——纸牌三角形详解(暴力破解+全排列)
June_666的博客
04-01 1937
** 纸牌三角形 ** A,2,3,4,5,6,7,8,9 共9张纸牌排成一个正三角形(A按1计算)。要求每个边的和相等。 下图就是一种排法 A 9 6 4 8 3 7 5 2 这样的排法可能会有很多。 如果考虑旋转、镜像后相同的算同一种,一共有多少种不同的排法呢? 请你计算并提交该数字。 注意:需要提交的是一个整数,不要提交任何多余内容。 方法一:暴力破解 看到题目,最容易想...
双向排序 (蓝桥杯) 暴力破解 JAVA
Narnat的博客
03-22 606
小蓝将对这个序列进行m次操作,每次可能是将a[1], a[2], …a[qi] 降序排列,或者将a[qi], a[qi+1], …输入的第一行包含两个整数n, m,分别表示序列的长度和操作次数。给定序列(a[1], a[2], …, a[n]) = (1, 2, …, n),即a[i] = i。输出一行,包含n个整数,相邻的整数之间使用一个空格分隔,表示操作完成后的序列。当pi = 0 时,表示将a[1], a[2], …时,表示将a[qi], a[qi+1], …, a[n] 升序排列。
laravel jwt redis token 限制一个用户登录
06-13
在 Laravel 中,使用 JWT 和 Redis 存储用户登录 token,可以很方便地实现限制一个用户登录。以下是实现步骤: 1. 安装 JWT 和 Redis 扩展。 2. 创建一个中间件,用于检查用户是否已经登录,如果已经登录,则禁止...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值