博主因外包项目中腾讯云服务器密码简单被植入挖矿脚本,联想到小伙伴公司遭比特币勒索,进而分享防止撞库的方法。包括业务上验证手机号或邮箱、限制登录失败次数等,IP方面限制单位时间访问次数,还可使用成熟的WAF系统。
前段时间做了一个小外包,由于对方把腾讯云的服务器密码设置的太过简单,然后腾讯云上就收到预警,提示风险,结果没过一会,系统就被植入了挖矿脚本,不过说来也巧,前段时间的博主的小伙伴的公司也受到了比特币勒索,那么今天就来谈一下如何防止撞库。
以前著名的xxdn的账号也曾发生过密码泄露了,黑用户的信息之后然后拿着用户的信息去别的平台去尝试登陆,从而造成经济损失,因为用户的习惯一般是很多网站的密码都是同一个。其实这个习惯不是很好,在这里我建议大家哪怕是同一个密码,也一定要将密码的复杂性提升几个档次。
一: 业务上面的思考
1) 我们可以修改密码的时候验证手机号或者邮箱,同时增加验证码
2) 重要的操作验证手机号验证码,短信方式
3) 异地操作提醒,例如我们的服务器如果有异地登录,我们的控制台会有异常提醒。
4) 登录失败的次数限制,比如一个用户名,在很短的时间内,发生了几十次几百次的失败登录,那么这个极可能是撞库的操作
5) 将用户的敏感信息进行后台的* 处理,例如银行卡账号,如果需要查看,可以进行短信验证码查看完整信息
二: ip 方面
对于同一个ip,我们可以限制他的单位时间内的访问次数,如果说在一秒钟内访问了几十次 几百次,那肯定是有问题的,这个频率的大小,自己看着
WAF 使用
如果不想自己写这些乱七八糟的条件。可以使用成熟的 WAF 系统。这样,直接在 WAF 系统当中配置,可以智能识别很多的攻击问题。关于 WAF 我们这里不展开讲。目前我只接触过阿里云的 WAF。觉得还不错。就是有点贵哈~~~
扫一扫
253
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
