- android - RelativeLayout 背景可绘制重叠内容
- android - 如何链接 cpufeatures lib 以获取 native android 库?
- java - OnItemClickListener 不起作用,但 OnLongItemClickListener 在自定义 ListView 中起作用
- java - Android 文件转字符串
我想阻止来自试图暴力登录我网站的机器人的请求。
我正在使用 Session
来存储登录尝试,并在三次登录失败后显示验证码。但是,问题是一旦用户关闭浏览器,Session
就会被删除。
我应该考虑什么样的解决方案来防止机器人和暴力登录尝试?我应该使用用户系统或浏览器的什么属性来管理他/她的下一次登录?
注意:我不使用 ASP.NET 成员资格提供程序。我正在使用自己的身份验证和授权类。
最佳答案
您不能使用 session ,因为它需要客户端为您存储一个 cookie,而攻击者不会帮助您。您将需要一些全局状态。
您不必费心跟踪 IP 地址,因为坏人只会使用匿名代理。
不要使用帐户锁定,除非您必须(PCI 要求),因为这只会让攻击者对您的用户进行 DoS。
您还希望通过让您的服务器做太多工作来避免对自己进行 DoS 攻击。
这个有效:
如果身份验证不成功,将用户名和计数一起存储在全局状态中。如果使用该用户名进行更多不成功的身份验证,则同步 count++
。为此,我使用了 Redis。
如果 count >= threshold
,则要求在继续之前解决 CAPTCHA 值。在登录屏幕上显示验证码。
成功 身份验证后,清除全局状态中存储的用户名。给用户“受信任的用户代理” HMAC'd cookie ,因此他们将来不必为该 UA 上的该用户名进行验证码。
您可以对密码执行相同的操作,但阈值可能更高。
如果您不喜欢 CAPTCHA,则需要工作量证明,例如让客户计算并提交一个非常大的数的质因数。
当您使用它时,请确保您正在使用 bcrypt 来散列您的密码,并且成本因素足够高以致于 >= 250 毫秒来散列密码。这会减慢您的服务器速度,但也会减慢攻击者的速度。除非他们通过验证码(如果需要),否则避免散列。
鼓励用户使用长的、复杂的、令人难忘的?密码,这样它们就更难被暴力破解。
关于c# - 多次登录失败后阻止请求,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/30369529/
我在使用以下代码时遇到问题: function http_file_exists($url){ $f=fopen($url,"r"); if($f){ fclose($f); retu
我已经通过 Git 部署到 Azure 几个月了,没有出现重大问题,但现在我似乎遇到了一个无法克服的错误。 我创建了一个新的 Azure 网站,为正在开发的项目创建单独的预览链接。我在新站点上设置了
我已经通过flutter创建了一个App并完成了它,我想在flutter文档中阅读时进行部署。 我收到此错误: FAILURE: Build failed with an exception. * W
我在Windows 10中使用一些简单的Powershell代码遇到了这个奇怪的问题,我认为这可能是我做错了,但我不是Powershell的天才。 我有这个: $ix = [System.Net.Dn
我正在尝试使用 RapidJSON 解析从服务器接收到的数据。以下是收到的确切字符串: [ { "Node": "9478149a08f9", "Address": "172.17
我尝试为 ios 编译 OpenCV。我总是收到这些错误。我用不同版本的opencv试了一下,结果都是一样的。 我运行这个:python 平台/ios/build_framework.py ios_o
我在一台机器上做基本的发布/订阅,我的客户端是 StackExchange-Redis 的 C# 客户端,我在同一台机器上运行基于 Windows 的 Redis 服务器(服务器版本 2.8.4) 当
我有这段代码,但无法执行,请帮我解决这个问题 连接 connect_error) { die ("connection failed: " . $terhubung->connect_erro
我在 tomcat 上运行并由 maven 编译的 Web 应用程序给出了以下警告和错误。我可以在本地存储库中看到所有 JAR,但有人可以帮忙吗。 WARNING: Failed to scan JA
我正在 Windows 8 上使用 Android Studio 开发一个 android 应用程序,我正在使用一些 native 代码。突然间我无法编译我的 C 文件。当我运行 ndk-build
下面的代码对类和结构的成员进行序列化和反序列化。序列化工作正常,但我在尝试使用 oarch >> BOOST_SERIALIZATION_NVP(outObj); 反序列化时遇到了以下错误; 代码中是
如果我运行此命令“rspec ./spec/requests/api/v1/password_reset_request_spec.rb”,此文件中的所有测试都会通过。 但是,当我运行“rspec”时
我在尝试执行测试以使用 Protractor 上传文件时出错,我的代码是这个 it('it should be possible to upload a file', function() {
System.loadLibrary("nativefaceswap"); 当我运行我的应用程序时,我在 Android Studio 中发现了此类错误。在logcat中显示: java.lang.U
我希望有人能帮助我!使用任何方法或命令行的任何 SSL/HTTPS 调用均无效。 我在 Windows 10 中使用 Ubuntu Server 18.04 作为子系统。我的问题是昨天才开始出现的,因
通过删除这两个值将日期字段从 null=True 和 Blank=True 更改为 required 时,使用 db.alter 命令时遇到问题。 当以下行被注释掉时,迁移运行不会出现问题。
我第一次使用 Heroku 尝试创建应用程序(使用 SendGrid 的 Inbound Parse Webhook"和 Twilio SMS 通过电子邮件发送和接收 SMS 消息)。通过 Virtu
我正在将我的 swift 项目更新到 Xcode 7 上的 Swift 2.0。xcode 在构建项目时报告了以下错误: 命令/Applications/Xcode.app/Contents/Deve
在我的代码中,SSL 库函数 SSL_library_init() 没有按预期返回 1。我如何才能看到它返回了什么错误? 我在 SSL_library_init() 之后调用了 SSL_load_er
我正在尝试运行在以下链接中找到的答案: Asynchronously Load the Contents of a Div 但是当我这样做时,我会遇到我不太理解的错误。 我的代码: $(documen
我是一名优秀的程序员,十分优秀!