|
建议/意见详情:
还是原来的那个事情,破解密码
现在的登录系统其实相较以前的登陆系统并没有太大安全性的改进(输入登录多发俩个包即可绕过),
而我现在有一个方案就是,通过一个风控系统+验证码来达到防止恶意入侵/暴力破解的方法
首先,风控在以下几个点:
1.常用登陆地IP地址和地点
2.IP数据库风控信息、网络安全风控基础数据(僵尸网络/IDC机房等)
3.登录操作过程中的信息(如输入时间等)
4.登录使用的密码的变化值信息(主要防止暴力破解)
5.该账户登录频率
然后验证码也有三种类型:
1.标准点击式验证码
这种是在风控风险程度较低的时候启用,操作者只需要点击左边和右边两个方块即可完成验证
2.扩展点击式验证码(仿谷歌验证码)
这种是在风控风险程度较高的时候启用,这种就需要在图中点击相应颜色的方块(比如:请点击图中 红色的方块)
3.VTT语义验证码
这种是在风控风险程度最高的时候启用这种验证码就比较复杂了,比如
"请点击屏幕右上角能燃烧的物品的下方一个物品"
这类一般就是已经定性为恶意流量才会使用这个验证码
然后希望山水能把铁砧登陆系统的插件(最好有源码,没有也没关系)发给我,做好了我会给自己和山水的服务器用
您的角色ID:ljmjason/xieyi1393
|
|