網(wǎng)站安全是整個(gè)網(wǎng)站運(yùn)營(yíng)中比較重要的部分。沒(méi)有網(wǎng)站的安全，如何保護(hù)用戶的隱私？網(wǎng)站中用戶的任何交易、支付和注冊(cè)信息都沒(méi)有安全保障，所以網(wǎng)站安全做得很好，所以我們可以更好地運(yùn)營(yíng)一個(gè)網(wǎng)站。同樣為當(dāng)時(shí)的客戶部署和測(cè)試網(wǎng)站的安全性，我們發(fā)現(xiàn)網(wǎng)站的業(yè)務(wù)邏輯存在很多漏洞，特別是在牟取暴利方面。

在我們正弦安全檢測(cè)客戶網(wǎng)站漏洞的同時(shí)，我們將從用戶登錄、密碼檢索、用戶注冊(cè)、二級(jí)密碼等業(yè)務(wù)功能進(jìn)行安全檢測(cè)。通過(guò)我們多年的安全檢測(cè)經(jīng)驗(yàn)，讓我們簡(jiǎn)單介紹一下。

首先，讓我們來(lái)看看暴力破解的模式，它分為身份驗(yàn)證碼模塊和暴利破解，以及無(wú)保護(hù)、IP鎖定機(jī)制、數(shù)據(jù)庫(kù)不間斷碰撞、驗(yàn)證碼分為圖片驗(yàn)證碼、短信驗(yàn)證碼、驗(yàn)證碼安全旁路，短信驗(yàn)證碼爆炸、繞過(guò)等，沒(méi)有任何保護(hù)的是網(wǎng)站用戶沒(méi)有限制錯(cuò)誤登錄次數(shù)、用戶注冊(cè)次數(shù)、重置密碼、沒(méi)有用戶登錄驗(yàn)證碼、用戶密碼沒(méi)有MD5加密，這意味著沒(méi)有安全保護(hù)，導(dǎo)致攻擊者利用這種情況，殘忍地破解網(wǎng)站的用戶密碼。

IP鎖定機(jī)制是一些網(wǎng)站會(huì)采取一些安全保護(hù)措施。當(dāng)用戶登錄網(wǎng)站時(shí)，登錄錯(cuò)誤次數(shù)超過(guò)3次或10次時(shí)，將鎖定該用戶的帳戶，并鎖定該登錄帳戶的IP。IP鎖定后，攻擊者將無(wú)法登錄到網(wǎng)站。

關(guān)于網(wǎng)站安全與漏洞修復(fù)方案

驗(yàn)證碼破解和繞過(guò)是整個(gè)網(wǎng)站安全檢測(cè)的重要環(huán)節(jié)。驗(yàn)證碼一般分為短信驗(yàn)證碼、微信驗(yàn)證碼和圖片驗(yàn)證碼。驗(yàn)證碼安全機(jī)制在網(wǎng)站設(shè)計(jì)過(guò)程中得到了廣泛的應(yīng)用，但仍然可以繞過(guò)驗(yàn)證碼進(jìn)行有益的破解。一些攻擊軟件會(huì)自動(dòng)識(shí)別驗(yàn)證碼。目前，一些驗(yàn)證碼會(huì)使用一些拼圖，以及特殊字體，甚至有些驗(yàn)證碼一次輸入就可以多次使用。驗(yàn)證代碼在驗(yàn)證期間未與數(shù)據(jù)庫(kù)進(jìn)行比較，導(dǎo)致被繞過(guò)。

首先，要設(shè)計(jì)IP鎖的安全機(jī)制。當(dāng)攻擊者試圖登錄到網(wǎng)站用戶時(shí)，他可以設(shè)置每分鐘登錄多少次，然后鎖定IP。如果另一個(gè)帳戶嘗試某些特殊操作，例如檢索密碼和檢索次數(shù)過(guò)多，則IP也將被阻止。

驗(yàn)證碼識(shí)別保護(hù)，增加一些語(yǔ)音驗(yàn)證碼、特殊字體驗(yàn)證碼、拼圖下拉驗(yàn)證碼、需要人工操作的驗(yàn)證碼，短信驗(yàn)證碼每分鐘只能獲取一次驗(yàn)證碼。驗(yàn)證碼的有效時(shí)間安全限制，無(wú)論驗(yàn)證碼是否正確，都應(yīng)在一分鐘內(nèi)過(guò)期，不能重復(fù)使用。所有用戶登錄并向后端服務(wù)器注冊(cè)，包括數(shù)據(jù)庫(kù)服務(wù)器。