欧美vr亚洲系列_亚洲免费视频久久久久久久_亚洲av免费看._国产99久久九九精品免费_亚洲国产一区精品成人在线观看_中文字幕日韩精品丝袜福利_国产性猛交久久熟女_饥渴熟女视频

　　我一直在努力縮小有人攻擊我的基于表單身份驗證的web應(yīng)用的機率。我知道我無法控制連接應(yīng)用的人，但我要怎么做才能阻止攻擊，并鎖定用戶的帳戶?

　　基于web的密碼攻擊對于基于表單的身份驗證是一個真正的問題。在人們使用的較弱的密碼和不斷發(fā)生的大量的web攻擊之間，在你一覺沒準(zhǔn)備檢測和保護時，你很可能是成為攻擊的目標(biāo)。根據(jù)2014年Verizon數(shù)據(jù)泄露調(diào)查報告稱，35%的攻擊與web相關(guān)。

　　我通常建議開始人員，包括入侵者在內(nèi)，鎖定基于表單的身份驗證的機制。例如，當(dāng)嘗試登錄失敗5到10次后，鎖定帳戶幾分鐘，或者給用戶提供一種方法重置他們的密碼(如，通過帶外數(shù)據(jù)郵件重置流程)。

　　你還可以幫忙阻止自動化的基于表單的攻擊，通過要求用戶登錄時經(jīng)過多步驟的流程。我見過的最彈性的基于表單的web身份驗證系統(tǒng)是這樣的：它要求用戶點擊圖片，輸入他們的密碼，而且每次登錄圖片都會稍許改變位置。 這種方法的問題是，它同時打破大多數(shù)登錄的宏記錄，這一記錄用在Web漏洞掃描中，這使得它幾乎不可能執(zhí)行身份驗證漏洞掃描，如果你使用了錯誤的工具。

　　Web應(yīng)用防火墻(WAF)或入侵防御系統(tǒng)(IPS)也可以幫忙阻止登錄表單受到攻擊。變量很多，但只有你知道什么才是最適合你的系統(tǒng)架構(gòu)、你的應(yīng)用工作流和你的用戶的。確保你正在考慮這一挑戰(zhàn)，因為它很有可能已經(jīng)浮出水面