软件世界网 购物 网址 三丰软件 | 小说 美女秀 图库大全 游戏 笑话 | 下载 开发知识库 新闻 开发 图片素材
多播视频美女直播
↓电视,电影,美女直播,迅雷资源↓
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
图片批量下载器
↓批量下载图片,美女图库↓
移动开发 架构设计 编程语言 Web前端 互联网
开发杂谈 系统运维 研发管理 数据库 云计算 Android开发资料
  软件世界网 -> 互联网 -> 看好你的门 -> 正文阅读
互联网 最新文章
C++11并发API总结
16.收款(AcceptingMoney)
数据链路层综述
IP协议及IP数据报解析
《浅谈HTTP协议》
计算机网络基础
LoadRunner和RPT之间关于手动关联和参数化的
HTTPS中的对称密钥加密,公开密钥加密,数字
上班需要打卡吗?(开通微信公众号--乘着风
ofbizjmsactivemq

[互联网]看好你的门

  2015-03-10 09:54:27

首先需要声明,本文纯属一个毫无远见和真才实学的小小开发人员的愚昧见解,仅供用于web系统安全方面的参考。

1、 前提


执行安全的验证机制,不仅仅要同时满足几个关键安全目标,许多的时候也需要牺牲其他目标。比如易用性、成本、还有功能。

2、 防止蛮力攻击登陆的基本要求


一些基本要求,写下来,以后也可以参考。
1. 加一个图片验证码,加一个简单的图片验证码,我个人估计就能屏蔽掉90%的蛮力攻击者。我们公司购买了hp的专业黑客检验工具;如果系统要进行安全扫描,第一件事情就是要屏蔽验证码功能…
2. 对登陆机制、修改密码功能、忘记密码等功能进行整体考虑,不要有所遗漏;
3. 尽量使用无法预测的用户名,并且阻止用户名的枚举,给完全盲目的蛮力攻击设置障碍(但是现在手机号、邮箱、QQ号码这三个,已经成为了大部分系统的账号…)
4. 对一些安全性要求很高的系统(银行,支付平台等),在检测到少数几次(3、5次)登陆失败后应该立即禁用该用户。最好能够通过一些非常规的方式激活,比如给呼叫中心打电话等(成本太高,而且相对不友好);或者将账号冻结一段时间(30分钟或者2小时,或者当天);
5. 如果采取账号冻结的方式,最好也不要把这种方式告诉用户(但是不告诉用户,用户万一密码输错几次之后,也很痛苦,用户不知道发生了什么…)
上一篇文章      下一篇文章      查看所有文章
2015-03-10 09:54:20  
360图书馆 论文大全 母婴/育儿 软件开发资料 网页快照 文字转语音 购物精选 软件 美食菜谱 新闻中心 电影下载 小游戏 Chinese Culture
生肖星座解梦 三沣玩客 拍拍 视频 开发 Android开发 站长 古典小说 网文精选 搜图网 天下美图 中国文化英文 多播视频 装修知识库
2017-1-21 4:08:36
多播视频美女直播
↓电视,电影,美女直播,迅雷资源↓
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  软件世界网 --