Mic*_*olk 17 java security spring spring-mvc spring-security
Spring 3.0 MVC中是否有任何特性可以帮助在Web应用程序的身份验证/登录页面上实现暴力攻击的检测?
Vla*_*hev 13
久经考验的做法是在身份验证失败时引入随机但相当大的延迟.
通过这种方式,合法用户将立即登录,但攻击者每次尝试将花费500ms-1s,这使得整个暴力想法变得不切实际(将需要永远).
合法用户偶尔登录失败将导致他们只有一个小的延迟,并将被忽视.
如果需要在重复登录失败时收到通知,则需要实现报告打印每个用户的后续失败登录次数,按该编号desc限制100排序.
PS 这是一篇解释如何获得登录尝试通知的帖子.我相信,采用相同的方法可以引入延迟.
Sea*_*oyd 2
令人惊讶的是,我在Spring MVC或Spring Security的参考文档中找不到任何内容。
不过,我确实找到了这个已有 3 年历史的教程,其中描述了如何使用Splunk来完成此操作。
归档时间:
14 年,10 月 前
查看次数:
4921 次
最近记录:
10 年,11 月 前