暴力破解:
n 风险分析
暴力破解攻击是一种针对于密码的破译方法,即将密码进行逐个验证直到找出真正的密码为止。该系统无法拦截攻击者的暴力破解攻击,攻击者破解成功后即可获得合法用户的权限,甚至可以通过爆破管理员账户的密码对系统造成更大的影响。
n 解决方案
- 在登录页加入图形验证码前端检验
- 后台登录用户基础信息表加入用户登录错误次数和用户账号状态,超过限定的登录次数用户账号锁定,并提示用户无法登录,稍后再试。等过了设定的时间以后,用户账号状态自动解除。
CSRF破解:
n 风险分析
攻击者可以通过构造CSRF请求来欺骗用户发送 HTTP 请求到目标站点,执行修改管理员密码、增加用户等操作。
目前所有的后台管理服务都没有加上限制。
n 解决方案
1.前端向后台传递hash之后的csrf_token值和cookie中的csrf_token值,后台拿到cookie中的csrf_token值后得到hashCode值然后与前端传过来的值进行比较,一样则通过。
2.用户登录成功,返回token给前端(前后端分离架构),创建CsrfFilter,对于每次非登录的post请求都必须携带token,后台会验证其token是否正确;
浙公网安备 33010602011771号