1

我会直接进入问题。假设我的网站具有登录功能并且有很多用户。我遇到了登录脚本攻击,其中黑客拥有“用户名”和“密码”列表(假设他是从其他地方得到的)并且他正在我的网站上运行它以查看它们是否是有效信息。我有一个监视工具/应用程序来捕获相同的 IP 地址是否尝试在“y”时间内尝试“x”次登录,并且它成功检测到属于这些类别的攻击。但是,由于我无法提出所有可能的情况,因此对此有限制,我觉得无法阻止他们进行此类攻击。我很好奇亚马逊或其他巨头等其他公司如何处理此类攻击。

提前致谢。

4

1 回答 1

1

他们应用各种技术来确定登录是否是由人类完成的——这被称为 图灵测试

例如,如果用户在固定时间段内尝试过多的登录尝试,许多站点会将用户锁定在外。这意味着如果它是一个机器人,它以后的登录尝试将被忽略。对此的一种变体是随着登录尝试次数的增加而增加锁定时间。

验证码用于Ticketmaster 等网站。

不幸的是,诸如此类的蛮力攻击已成为现实。

于 2013-05-17T22:49:47.570 回答