我正在创建一个登录系统,并且想要阻止尝试登录几分钟的人,当给出错误的用户名和密码时,可以说4次。
我知道如何在IP上阻止它,但这会为例如创建一个块。整个学校,如果我在那里。 现在我可以使用该人员输入的用户名来阻止访问,但这样就可能导致输入的用户名不存在于数据库中。
我的问题是: 如何为输入不存在的用户名的人创建该块。 我需要什么样的数据库表。
此外,我已经找到了使用会话和cookie的可能性,但这留下了人们可以创建的软件安全问题,以删除会话和cookie。
所以如果有人能帮助我,我会很感激。
答案 0 :(得分:2)
我相信你正试图逃避蛮力攻击,而不是一个忘记用户名的可怜丈夫。
实施困难的CAPTCHA机制,这样您就可以防止大多数自动攻击。同时保持来自特定IP地址的尝试次数以及这些连续尝试之间的间隔。如果任何攻击设法解决您的CAPTCHA,您仍然可以在几分钟内检测到异常活动并阻止访问整个IP。它可能会让整个组织离线一段时间,但至少你可以帮助他们避免由于严重的攻击而遭遇停电。
会话和cookie无济于事,因为大多数暴力系统都会清除并为每个请求生成一个新的cookie。