0

Amazon で実行されているライブのスプリング Web アプリがあり、最近、さまざまな IP からのログイン攻撃を発見しました。これまでのところ、ログイン システムは十分に安全であり、複雑なパスワードや、salt を使用したエンコーディングなどでセキュリティが侵害されたことはありません。ただし、これを防止したいと考えています。

ログが明らかにしたことの 1 つは、攻撃者がログイン ページを迂回してサービス クラス (認証マネージャーのみ) に到達できることです。ログイン用の特別な URL はありませんが、ログイン jsp を介さずに認証マネージャー/サービスなどを呼び出すにはどうすればよいですか? 認証サービス クラス (UserDetailsS​​ervice を実装) の loadUserByUsername() メソッドからのログを確認できます。どんな助けでも大歓迎です。

4

1 に答える 1

2

なぜ login.jsp が必要なのですか? すべてのパラメーターを正しく指定して HTTP 投稿を実行するだけで、ログイン フォームを投稿する人をシミュレートできます。

すべてのリクエストが同じ IP から送信された場合は、ファイアウォールを設定してブロックできます。他のメカニズムは、多くの失敗の後に遅延を設定することです (たとえば、5 回の失敗の後に 30 分の遅延)。

さらに進めたい場合は、2 フォーム認証によりセキュリティが強化されます。たとえば、ユーザーが未知の IP/コンピューターからログインしている場合に SMS 確認を実行します。

于 2013-05-30T06:22:47.210 に答える