V2EX = way to explore
V2EX 是一个关于分享和探索的地方
Sign Up Now
For Existing Member Sign In
推荐学习书目
› Learn Python the Hard Way
Python Sites
› PyPI - Python Package Index
› http://diveintopython.org/toc/index.html
› Pocoo
值得关注的项目
› PyPy
› Celery
› Jinja2
› Read the Docs
› gevent
› pyenv
› virtualenv
› Stackless Python
› Beautiful Soup
› 结巴中文分词
› Green Unicorn
› Sentry
› Shovel
› Pyflakes
› pytest
Python 编程
› pep8 Checker
Styles
› PEP 8
› Google Python Style Guide
› Code Style from The Hitchhiker's Guide
This topic created in 3878 days ago, the information mentioned may be changed or developed.
 |
1
giuem Sep 26, 2015 via Android
不知道楼主对于安全的定义是什么。我认为,登录页面使用 https ,不明文传输密码差不多就可以了
|
 |
2
vibrance Sep 26, 2015 via iPhone
https 加专线加自制加密算法
|
 |
3
Ouyangan Sep 26, 2015
|
 |
5
abelyao Sep 26, 2015 via iPhone
微信扫二维码登录
|
 |
6
cloverstd Sep 26, 2015 via iPhone
两步验证
|
 |
7
loading Sep 26, 2015 via Android
防爆破,我的就没实现这个…准备加。
|
1 |
9
lingo233 Sep 26, 2015
千万别自制加密算法
|
 |
10
virusdefender Sep 26, 2015
网页写入一段乱七八糟的 js ,提交的时候带上这个 js 的运行结果,然后与 session 中比较,可以防住不少低级的机器人。
https://virusdefender.net/index.php/archives/438/ |
 |
11
tinyproxy Sep 26, 2015 via iPhone
oauth ,两步验证,客户端证书
|
 |
12
bdbai Sep 26, 2015 via iPhone
@virusdefender 对于登录系统,万能机器人应该不多吧?
WordPress 博客也经常有机器人评论,随便搞点 trick 就行了。 |
 |
13
Ryans Sep 26, 2015
- https
- 如果 http ,请将用户名密码加密后传输,避免网络嗅探 - 多次输入密码错误出现验证码逻辑 - 账号 密码 的后台处理注意避免 SQL 注入漏洞使得万能密码可以绕过 - 找回密码逻辑 |
 |
14
jugelizi Sep 26, 2015
验证码 多次错误输入要有
密码要 JS 非对称加密服务器解密 不上 https 谈安全都是耍流氓 |
 |
15
tuoxie007 Sep 27, 2015 via iPhone
最偷懒的做法,用第三方 oauth 登录,自己网站每次给分配一个 token ,定时过期。
|
 |
16
ljdawn Sep 27, 2015
两次 hash 先搞起来。
|
 |
19
MeirLin Sep 27, 2015
@ljdawn 这样其实也无济于事, 攻击者可以在用户输入这一步进行诸如撞库类的攻击 自动写到表单进行 fuzz 提交就好 .. 所以要防御还需是多面的,目前看来正确使用验证码就可以防御,再加上表单提交的 token 基本不用担心撞库了。当然再加上服务器风控能做到发现大量发包提交就封 ip 也是有效的 但是 ip 的获取不能用 XFF ,不然一样可以伪造来绕过,其实撞库就是识别机器行为的博弈,只要机器无法做到就是防御了 当然最重要的是把所有登陆接口都做到防御 .. 挖过阿里撞库的经验
|
 |
21
ssltest Sep 28, 2015
|
Select Language