Web安全实践(11)用户名枚举
2009-01-05 13:49:44 来源:WEB开发网核心提示: 看,连邮箱都给我们显示出来了,Web安全实践(11)用户名枚举(3), 这里需要说的是,对于具体的攻击细节和防护细节我们留在下一篇文章中具体探讨,但设计不好的验证码是可以绕过的,这里也不详细说, (5)账户锁定 对于返回错误信息不明显的页面我们也可以利用它的账户锁定机制,原因很简单
看,连邮箱都给我们显示出来了。
这里需要说的是,对于具体的攻击细节和防护细节我们留在下一篇文章中具体探讨。
(5)账户锁定
对于返回错误信息不明显的页面我们也可以利用它的账户锁定机制。原因很简单,账户锁定仅仅针对已经存在的用户,而对不存在的用户是不锁定的。比如126邮箱。但是账户锁定很容易被暴力程序造成拒绝服务攻击。
11.4 阻止暴力探测的一些方法的探讨
(1)账户锁定
账户锁定是很有效的方法,因为暴力破解程序在5-6次的探测中猜出密码的可能性很小。但是同时也拒绝了正常用户的使用。如果攻击者的探测是建立在用户名探测成功之后的行为,那么会造成严重的拒绝服务攻击。对于对大量用户名只用一个密码的探测攻击账户锁定无效。
如果对已经锁定的账户并不返回任何信息,可能迷惑攻击者。
(2)返回信息
如果不管结果如何都返回成功的信息,破解软件就会停止攻击。但是对人来说很快就会被识破。
(3)页面跳转
产生登录错的的时候就跳到另一个页面要求重新登录。比如126和校内网都是这样做的。局限性在于不能总是跳转页面,一般只在第一次错误的时候跳转,但是第一次之后又可以继续暴力探测了。
(4)适当的延时
检查密码的时候适当的插入一些暂停,可以减缓攻击,但是可能对用户造成一定的影响。
(5)封锁多次登录的IP地址
这种方法也是有缺点的,因为攻击者可以定时更换自己的IP。
(6)验证码
刚才Mien Ng给我说了验证码的问题,本来打算在下次说的,既然提了,也感觉该在这里说一下比较好。验证码确实是阻止暴力攻击的好方法,但设计不好的验证码是可以绕过的,这里也不详细说。对于特定目标的手工探测来说验证码是没有作用的。
[]
- ››WEBGAME龙虎榜,《传奇国度》成黑马
- ››安全第一 Windows 7五件应该知道的事
- ››WebQQ 2.0添加谷歌音乐方法
- ››WebLogic调整Java虚拟机性能优化参数
- ››webqq2.0协议研究(3)-ClientId生成
- ››Web.config配置文件
- ››WebBrowser组件的execWB方法——Delphi控制浏览器...
- ››Web前端设计模式--制作漂亮的弹出层
- ››WebSphere 反向投资者: 解决 WebSphere Applicati...
- ››WebSphere sMash 的创新应用,第 2 部分: 借助包装...
- ››WebQQ2.0怎样对话区域比例调节
- ››WebQQ2.0——QQ阅读&酷六视频上线
更多精彩
赞助商链接