我有一个在亚马逊上运行的实时春季网络应用程序,我最近发现来自各种IP的登录攻击。到目前为止,没有任何东西被破坏,因为登录系统足够安全,具有复杂的passowrds,以及使用salt等编码。 但是,我想阻止这一点。
日志显示的一件事是攻击者以某种方式能够到达我的服务类(只有真实管理员)绕过我的登录页面。我没有用于登录的特殊URL,但是如何在不通过登录jsp的情况下调用身份验证管理器/服务等?我可以看到我的身份验证服务类(实现UserDetailsService)的loadUserByUsername()方法的日志记录。 任何帮助都感激不尽。
答案 0 :(得分:2)
为什么你需要login.jsp,你可以通过执行包含所有参数的HTTP帖子来模拟发布登录表单的人?
如果所有请求来自同一IP,您可以配置防火墙来阻止它。其他机制是在发生多次故障后延迟(例如,在5次后续故障后延迟30分钟)。
如果您想更进一步,两种表单身份验证将提高安全性,例如,如果用户从未知IP /计算机登录,则执行短信确认