这一篇主要是讲解怎么在登录页上添加验证码功能,默认的登录页是只有用户名与密码功能。其他我觉得加验证码没什么用,因为现在我部门做的系统主要是放在内网里,外网是不能访问的。登录页的验证码主要是为了防止进账号进行暴力破解,不过我觉得客户估计也不会没事去搞这玩意。以上只是我自己的个人见解,可能有失偏颇,.....
分类:
其他好文 时间:
2014-12-25 01:27:38
阅读次数:
332
记录了安全测试过程中发现的一些典型的安全问题 YS忘记密码机制存在缺陷,可导致任意用户口令被修改【高】 问题描述: YS网站提供用户密码修改功能,当用户忘记密码时可通过该功能找回密码,但该修改密码的流程存在如下问题: 1、 手机验证码过短(只有4位且为纯数字),很容易被暴力破解。 2、 只单纯通过手...
分类:
其他好文 时间:
2014-12-23 13:54:43
阅读次数:
201
YS使用的防暴力破解机制存在缺陷,该缺陷可被用于暴力破解其它用户密码【高】 问题描述: YS在用户登录页面设置了验证码机制,当用户输入密码错误次数达到3次时,再次登录需要验证码以防止攻击者进行暴力破解,但在需要验证码的情形下,当用户成功认证登录之后,该验证码机制将失效,此时攻击者可以无数次向服务器重...
分类:
其他好文 时间:
2014-12-22 10:48:38
阅读次数:
477
max_connect_errors是一个MySQL中与安全有关的计数器值,它负责阻止过多尝试失败的客户端以防止暴力破解密码的情况。max_connect_errors的值与性能并无太大关系。 默认情况下,my.cnf文件中可能没有此行,如果需要...
分类:
数据库 时间:
2014-12-10 16:32:10
阅读次数:
220
事前注意:①、本教程不适用于远程连接linux,例如通过ssl、xmanager连接linux;②、本教程是在linux的concle接口修改root密码,你必须能够直接看到整个linux启动过程才能实现重置root密码;③、多个不同的linux系统都能使用此方法破解root密码;详细步骤:1、打开装有linux系..
分类:
系统相关 时间:
2014-12-07 06:57:16
阅读次数:
354
查看日志文件:$ sudo cat /var/log/auth.log日志大量出现:Failed password for root from 123.15.36.218 port 51252 ssh2reverse mapping checking getaddrinfo for pc0.zz.h...
分类:
其他好文 时间:
2014-12-03 18:40:02
阅读次数:
252
网站才用的是wordpress,之前被黑了,login.php被暴力破解,为了增加安全性,现在经理让我做一个访问控制,只能有一个ip能访问login.php。如果单纯跑一个apache问题很容易解决加两行rewrite就能搞定,现在的问题是服务器上跑了好几个web,nginx做的分发;nginxrewrite多条件判..
分类:
其他好文 时间:
2014-12-01 19:32:04
阅读次数:
394
如题,使用Java模拟GET和POST请求。使用GET可以实现网页抓取,使用POST可以实现对某些网站登录的暴力破解。不过仅是练习,实际意义不大。 import java.io.IOException;
import java.io.InputStream;
import java.io.Input...
分类:
编程语言 时间:
2014-11-27 17:52:53
阅读次数:
130
PS:这款暴力密码破解工具相当强大,支持几乎所有协议的在线密码破解,其密码能否被破解关键在于字典是否足够强大。对于社会工程型渗透来说,有时能够得到事半功倍的效果。本文仅从安全角度去探讨测试,使用本文内容去做破坏者,与本人无关。一、简介hydra是著名黑客组织thc的一款开源的暴力密码破解工具,可以在...
分类:
其他好文 时间:
2014-11-27 16:10:36
阅读次数:
260
首先写出一段登陆程序://ashx端using System;using System.Web;public class AddCalation : IHttpHandler { public void ProcessRequest (HttpContext context) { ...
分类:
Web程序 时间:
2014-11-22 17:11:26
阅读次数:
269
