身份认证

暴力破解、撞库、扫号、恶意锁定

1 暴力破解

1.1 是什么？

攻击者使用自己的用户名和密码字典，一个一个去枚举，尝试是否能够登录。

1.2 攻击场景

利用自动化工具，如BurpSuite工具的Intruder模块

1.3 怎么修复？

使用图形验证码
设置登录失败阈值，超过限制时锁定用户账号
强制要求用户使用高复杂度密码
增加二次验证逻辑，如手机验证码、邮件验证码等

2 账号锁定

2.1 是什么？

帐户锁定机制存在缺陷，可能被恶意利用，锁定用户帐号

2.2 怎么修复？

设置自助、反馈管理员解锁逻辑
根据系统安全要求等级，设置锁定阈值
根据系统安全要求等级，设置锁定时间
登录接口使用图形验证码校验区分用户或者自动化攻击

3 验证码安全

3.1 是什么？

验证码技术可以区分当前操作者是计算机还是人，从而有效防范恶意破解密码、刷票、论坛灌水等。

3.2 怎么做？

通常使用图片验证码
图片验证码配合指纹识别技术
常见的安全风险
验证码由客户端js生成并且尽在客户端js验证
验证码返回到客户端
验证码输出在cookie中
验证码不过期，没有及时销毁会话导致验证码复用
没有进行非空判断
验证码固定

3.3 怎么修复？

每一个会话对应一个验证码，并且验证码校验一次后，无论是否校验成功，都应该将会话的验证码重新刷新，并且设置验证码有效期
增强干扰和字符变形
拓展字符空间