其實任何資料裡面的任何知識點都無所謂，都是不重要的，重要的是學習方法，自行摸索的過程（不妥之處歡迎指正）

這幾天忙著幫別人普及安全，今天就把這篇文章結束掉，明天講下 “過度提交” 的防禦。這次開篇就激烈點==》爆破演示：

開啟Burp

 

設定監聽埠==》8080

設定一下代理：

下一步

 、

登陸失敗，檢視一下Request和Response

準備工具

 

設定要爆破的欄位

 

載入字典，啟用攻擊。（Options裡面可以設定執行緒，結果過濾之類的，可以自行設定）

開始了~專門看不同長度的，基本上都是正確的返回

看一下密碼是多少===》net1

看看Response返回是否是true==》對的

登入看看==》成功進入後臺！

---------------------------------------------------------------------------------------------------------

可能有些人只對這個爆破感興趣，那我說下怎麼防禦吧：

1.一般網站做法都是通過驗證碼，然後就有了驗證碼一代，二代，三代==>我推薦，”極驗“（你有比較不錯的也可以跟我說下，大家互助）。驗證碼大家都知道有破解的，比如各大打碼平臺，有機器識別，有人工打碼等

2.更高階一點做法就是各種跳轉，登入失敗跳xxx頁面，登入成功跳xxx頁面，這樣可以給攻擊者增大攻擊難度===》其實也沒啥難度，設定一下跟著301重定向就可以了，主要是難倒小菜鳥

3.然後就是凍結多次登入的IP，當登入次數一點程度的時候，就凍結IP一段時間，這樣也是增加了攻擊難度===》呃，，，比上一個麻煩一點，IP更換工具網上還是有各種的

4.通用方法就是凍結使用者（限制次數），比如設定一個多少時間間隔內密碼出錯不能超過5次。爆破次數這麼少基本上破不了了，但這也影響了正常使用者的正常使用

5.主動攻擊，這個方法是我學生時代畢業答辯的時候提出來的，除DDos外（這個反擊太耗流量）的其他攻擊，只要累計一定上限制，我會利用公司所有伺服器資源，所有客戶資源對攻擊者進行DDos攻擊，我一直奉信一個原則，被動挨打不如主動攻擊！

推薦做法==》正常情況下用簡單驗證，比如這種的==》1+2=？ ，如果出錯3次左右就換你原來的複雜驗證碼。如果再出錯3次就凍結使用者吧，凍結之後為了不影響使用者正常使用，可以用簡訊（郵箱）驗證來解除凍結

1.表單

開始今天的講解，今天說下表單（個人推薦用原生的寫法，如果趕時間就用微軟的這種封裝寫法【原因無他，看下就清楚了】）

這個是爆破的返回資料：

原生：

自帶：（返回的是當前檢視，而且所有的驗證都是直接請求伺服器，呃,,,,,,不說話）

後端可以考慮這樣做，前端還是老老實實的原生態走起吧（可以使用前端框架）

寫個簡單例子：（我也是最近才用這種方法，若有不當之處歡迎指出~）【說句良心話==》開發效率比以前高的不要不要的....】

說一下，模型註解已經特性相關的東西，下一篇會講。那個令牌相關的你忽略就可以，後面講跨站請求的時候會詳細說，很多防禦方法

定義一個模型

控制器：

檢視：（你需要的表單標籤基本上都有）

 效果：