暴力破解风险处理

作者:动易软件 来源:本站原创 点击数: 更新时间:2018年12月05日

客户网站爆出暴力破解风险问题,根据漏洞描述,在手机版会员登录、会员登录功能、管理员后台登录功能中,经测试发现虽然管理员后台设置了图形验证码,但是验证码是可以重复使用,并且服务端没有限制用户登录失败次数,导致攻击者可对系统里的账号密码进行暴力破解。

修复方案:完成图形验证码验证后,将session里的图形验证码值设置为null,避免图形验证码被重复使用。

限制单用户登录失败次数,超过3次登录失败则锁定账号30分钟。

33444
本篇文章的Tags:
如果以上内容未能解决您的问题,欢迎您到我们的讨论区发帖寻求帮助,我们的工作人员会热情为您解答。