81,094
社区成员
发帖
与我相关
我的任务
分享Login page password-guessing attack 密码猜测攻击
Login page password-guessing attack
密码猜测攻击。
Description
A common threat web developers face is a password-guessing attack known as a brute force attack. A brute-force attack
is an attempt to discover a password by systematically trying every possible combination of letters, numbers, and
symbols until you discover the one correct combination that works.
This login page doesn't have any protection against password-guessing attacks (brute force attacks). It's recommended
to implement some type of account lockout after a defined number
小弟是用Acunetix Website Audit工具扫描到的。根据基本信息我做了如下处理
1、在输入完毕用户名的时候,使用ajax检测该用户名是否存在,如果不存在就提示,并不允许提交(测试结果:失败)
2、在1步骤的基础上,当用户输入3-5次错误密码后,锁住用户三个小时,三个小时候自动解锁。(测试结果:失败)
3、在用户提交用户名的时候使用拦截器,过滤用户提交的用户名,如出现非法字段就干掉(如sql关键字)
(测试结果:失败)
4、在3的基础上,突然想到sql注入问题,于是更改链接方式。(测试结果:失败)
5、已经没有5了!我已经疯了…………求埋葬。。。。。。。。
密码猜测攻击。
Description
A common threat web developers face is a password-guessing attack known as a brute force attack. A brute-force attack
is an attempt to discover a password by systematically trying every possible combination of letters, numbers, and
symbols until you discover the one correct combination that works.
This login page doesn't have any protection against password-guessing attacks (brute force attacks). It's recommended
to implement some type of account lockout after a defined number
小弟是用Acunetix Website Audit工具扫描到的。根据基本信息我做了如下处理
1、在输入完毕用户名的时候,使用ajax检测该用户名是否存在,如果不存在就提示,并不允许提交(测试结果:失败)
2、在1步骤的基础上,当用户输入3-5次错误密码后,锁住用户三个小时,三个小时候自动解锁。(测试结果:失败)
3、在用户提交用户名的时候使用拦截器,过滤用户提交的用户名,如出现非法字段就干掉(如sql关键字)
(测试结果:失败)
4、在3的基础上,突然想到sql注入问题,于是更改链接方式。(测试结果:失败)
5、已经没有5了!我已经疯了…………求埋葬。。。。。。。。
...全文
请发表友善的回复…
发表回复
hyszy 2021-07-22
- 打赏
- 举报
请问楼主解决了吗?我也遇到同样问题,修改了加密方式,增加了次数锁定,还是不行
lzp_c 2015-11-09
- 打赏
- 举报
请问楼主解决了吗?如果解决请分享一下,谢谢哈~
kiratangent 2014-09-05
- 打赏
- 举报
同样遇到这个问题了,也是这款工具检测出来了的,请问楼主解决了吗?如果解决请分享一下,谢谢哈~
噬妖麒 2014-02-27
- 打赏
- 举报
怎么可能不用验证么?亲。。。
s041738 2014-02-24
- 打赏
- 举报
没有用验证码?
噬妖麒 2014-02-17
- 打赏
- 举报
我做的处理。。。是没有成功防止这个漏洞的处理,真不知道AWV到底是怎么检测到的!如何处理呢?
oh_Maxy 2014-02-17
- 打赏
- 举报
检测到密码猜测攻击。。然后呢?问题是什么?你的1、2、3、4是想干嘛的?恕我愚钝哈~
