d) 登录时,将用户的原始密码与我们的固定盐值进行拼接,然后做md5运算,运算后的结果再拼接上我们的随机码,再次md5运算,然后提交。
e) 后端接收到登录请求后,将从数据库中查询出的密码与session中的随机码拼接后,md5运算,然后与前端传递的结果进行比较。
PS:这种登录流程对于数据包重放来讲的确有效,但对于正常的selenium浏览器输入爆破仍需要结合阈值和验证码来防御。
4. Modsecurity类防御暴力破解类?
a) 若代码变更成本大,可以使用Modsecurity (当然直接买硬WAF也可以)
b) https://www.trustwave.com/Resources/SpiderLabs-Blog/Defending-WordPress-Logins-from-Brute-Force-Attacks/(Freebuf有翻译)
5. 针对验证码可多次重用的加固方法?
6. 主机类暴力破解的防御方法?
a) 自身的帐号口令体系满足复杂度要求
b) 若非必须的服务,直接禁止对外的开放,包括22、3389
c) 限定指定IP访问(网络的访问控制)
d) 不使用口令方式,使用私钥类登录
e) 意识类:不在标签写密码;运维管理类也不直接统记录到一个txt