有没有办法限制在指定时间长度内尝试访问受 .htaccess 文件保护的目录的次数?
例如。如果用户的详细信息错误 10 次,我可以让用户等待一个小时吗?
有没有其他方法可以减少对 .htaccess 安全目录的字典攻击
问问题
2384 次
1 回答
4
由于 HTTP 身份验证的工作方式,使用 apache 无法做到这一点,重试次数由浏览器决定。我知道人们所做的一件事是编写一个日志文件解析器来解析 apache 日志以通过 IP 和请求跟踪401响应(请记住,第一个 401 是提示登录对话框的请求)并在出现过多时执行某些操作一个请求的一个 IP 的 401 数量。解析器可以做的事情之一是在一段时间内使用 iptables(或类似的东西)阻止有问题的 IP,或者修改可以与RewriteMap结合使用的映射文件将客户端重定向到“您失败了太多次”页面。我唯一能想到的另一件事是编写自定义身份验证模块,但编写日志解析器似乎要容易得多。
于 2012-01-21T08:45:52.827 回答