对黑客方面比较感兴趣的或者是比较熟悉的,应该知道溯雪这个大名鼎鼎的工具吧。它一般可以用来暴力破解一些网络上的密码,比如邮箱的密码等等。原理就是挂上用户自定义字典,反复对一些表单之类进行提交,并分析返回信息,一旦密码正确,就将其记录下来。
对付这种网络上的暴力破解,可以控制用户的固定时间内的访问次数,超过这个次数,给出一些自定义的出错信息或者将其BAN掉就可以了。举个例子,比如现在有一个需要输入密码才能进入的页面,当有用户输入密码试图访问的时候,服务器可以记录下登陆用户的IP(也可以是ID、用户名等等)信息,查询数据库,判断此IP是否已经被记录到登陆用户数据库,如果没有,再判断密码是否正确,并将此IP和其登陆时间,记录到数据库;如果登陆用户数据库中有此IP信息,判断其连续登陆时间,如果两次登陆时间小于10秒,给出出错信息,禁止其登陆。
经简单测试,发现很多网站为了实现起来简单,都没有这样做,安全性无疑就大打折扣了。
对付这种网络上的暴力破解,可以控制用户的固定时间内的访问次数,超过这个次数,给出一些自定义的出错信息或者将其BAN掉就可以了。举个例子,比如现在有一个需要输入密码才能进入的页面,当有用户输入密码试图访问的时候,服务器可以记录下登陆用户的IP(也可以是ID、用户名等等)信息,查询数据库,判断此IP是否已经被记录到登陆用户数据库,如果没有,再判断密码是否正确,并将此IP和其登陆时间,记录到数据库;如果登陆用户数据库中有此IP信息,判断其连续登陆时间,如果两次登陆时间小于10秒,给出出错信息,禁止其登陆。
经简单测试,发现很多网站为了实现起来简单,都没有这样做,安全性无疑就大打折扣了。