来源:自学PHP网 时间:2015-04-17 14:47 作者: 阅读:次
[导读] 网站的账号登陆安全是一个大的体系,个人研究也不深,只是随便说说。传统的黑客是针对单个账户生成密码字典进行暴力破解,大家都知道这个游戏规则,下面我就说点别的:举个例子...
网站的账号登陆安全是一个大的体系,个人研究也不深,只是随便说说。传统的黑客是针对单个账户生成密码字典进行暴力破解,大家都知道这个游戏规则,下面我就说点别的:
举个例子,就拿已经下线的百度说吧的一个登陆接口举例 http://t.baidu.com/tool/login 使用test账户登陆,输入多次错误密码后,登陆就会受限。
但是切换成test2账户再登陆,登陆却没用受限,任然可以尝试多次密码登陆。
看到这里,大家应该已经知道暴露的安全问题,网站只限制了单个账户的密码登录错误次数,没有考虑多账户登陆的情况。 如果大家仍遵循着定势思维,就会觉得这个没有什么问题,但实际上登陆的安全逻辑上已经出现了大问题! 现在的黑客早就不遵循老游戏规则了,他们黑站后长年积累了庞大的用户密码库,前段时间大量用户支付宝被盗就是因为类似的问题,有这么一个登陆接口没用考虑多账户登陆的安全问题,黑客写了个自动化的暴力登陆程序,根据自己收集的用户密码库构造了一份庞大的字典,一个账户登陆被限制了切换另外一个账户试,掏空了不知道多少支付宝用户的余额,想一想这样的安全问题是一件多么可怕的事情 by:RAyh4c |
自学PHP网专注网站建设学习,PHP程序学习,平面设计学习,以及操作系统学习
京ICP备14009008号-1@版权所有www.zixuephp.com
网站声明:本站所有视频,教程都由网友上传,站长收集和分享给大家学习使用,如由牵扯版权问题请联系站长邮箱904561283@qq.com