自己做的管理系统,前后端分离,前端发账号密码给后端api,登录成功返回token。
目前是设置了一个5分钟内只能重试10次密码的功能,但问题来了。
如果是以用户名为判断标准,就会有人恶意输错别人账号的密码,导致别人无法正常登录。
如果是以客户端IP为判断标准,在同一NAT下只要有一个人输错,该网所有的人都无法正常登录。
以用户名+IP为判断标准,同样也存在同一NAT下恶意输错别人账号密码,让别人无法登录的可能。
服务器不支持IPv6。
webapi账号登录,不用验证码如何防止被暴力破解?
- 写回答
- 好问题 0 提建议
- 关注问题
分享- 邀请回答
-
1条回答 默认 最新
- 2024-05-20 23:17XLbb:的博客 网站是否双因素认证、Token值等等 用抓包工具查看是否有token值;双因素认证查看登录是的...由于token值输出在前端源代码中,容易被获取,因此也就失去了防暴力破解的意义,一般Token在防止CSRF上会有比较好的功效。
- 2020-09-22 23:19L_lemo004的博客 文章目录一、暴力破解及验证码安全注意事项二、C/S架构暴力猜解三、B/S架构暴力猜解四、Hydra安装及使用安装参数说明各种用法实例五、防范暴力猜解六、验证码安全工作原理存在的问题图片验证码的生成可能存在如下...
- 2024-08-28 16:55程序员鱼的博客 从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较...
- 2025-11-13 17:08黑客demon的博客 [](https://img- blog.csdnimg.cn/direct/96a84601851646a2a3d46ada840a535c.png) 密码cm5加密设置成功:( (2)基于验证码暴力破解 on client常见问题:不安全的前端js实现验证码;不安全的将验证码在cookie中泄露...
- 2024-06-16 12:57网络安全-海哥的博客 暴力破解漏洞的产生是由于服务器端没有做限制,导致攻击者可以通过暴力的手段破解所...暴力破解的关键在于字典的大小及字典是否具有针对性,如登录时,需要输入4位数字的短信验证码,那么暴力破解的范围就是0000~9999。
- 2024-06-18 00:52F4NQ1E的博客 弱口令枚举漏洞:在应用系统登录的过程中,若确定用户名存在于系统,且系统不存在安全的验证码及其他防止密码枚举的手段进行限制,则攻击者可通过大量的登录尝试判断用户密码是否正确。弱口令枚举建立在上述前提上,...
- 2025-05-07 19:19网络空间小黑的博客 暴力破解 (Brue Force) 是一种攻击方法 (穷举法),简称为“爆破”,黑客通过反复猜解和实验,旨在以暴力手段登入、访问目标主机获取服务,破坏系统安全,其属于 ATT&CK技术中的一种,常利用猜测、破解、喷洒、撞库四...
- 2024-09-10 16:44忆南呦的博客 验证码漏洞检测流程。
- 2024-06-18 00:11F4NQ1E的博客 用户名枚举漏洞学习:在应用系统登录的过程中,当输入错误的用户名信息时,应用程序将反馈相应的诸如“用户不存在”的错误提示,攻击者可通过该提示为依据对用户名进行枚举,猜解出已存在于...从而降低暴力破解的成本。
- 2024-07-18 15:51Two and a half years的博客 WEB攻防-&图片验证码识别&登录爆破&BurpCrypto&js调试前端加密爆破
- 没有解决我的问题, 去提问
问题事件
修改了问题
3月16日-
创建了问题
3月16日