网站安全对某些网站来说,是整个运营期间最为重要的事,尤其涉及大量用户信息、交易与支付的网站。在许多网站安全的部署与检测时,会发现网站业务存在大量的逻辑漏洞,尤其能被暴力破解的漏洞。
攻击者通过利用用户的弱口令,进行用户密码强制破解,例如123456、000000、admin等原始基础的密码,来进行猜测并尝试登陆,这是比较常见的网站业务逻辑漏洞。
现存有许多工具能自行模拟破解,密码库中存在大量常用密码,通过自动化大大缩短破解的时间。如果网站在最初设计中没有相应措施的话,后期会给服务器后端带来很大压力。
许多网站没有设置任何针对这方面的防护,比如限制用户登录次数、短信验证码等,使得暴力破解变得更加简单。当然,即使有验证,也有许多攻击软件可以绕过从而破解,但有了验证之后,在一定程度上可以增加破解的难度,提高安全程度。
如果出现了这类逻辑漏洞,应该怎么进行修复呢?
首先要设计好IP锁定,当攻击者尝试登陆用户账号的时候,可以设定一分钟登陆了多少次,如果尝试登陆了多次,可以进行IP锁定。如果这个账户进行密码找回等特殊操作,并且进行了多次,就可以封掉IP。
再者,在验证码识别中,增加语言、特殊字符或拼图等需要人手动的验证码,如果仅适用短信的话,设定一分钟只能收取一次,给验证码生效时间设定期限,可以是1分钟,也可以是3分钟,无论是否使用,这个码在时间过后都会过期。