5. 对于token是否真的可以做到防暴力破解
首先了解什么是token。
在客户端频繁的访问服务器,服务器进行不断的验证,并返回相应的信息。就是为了这种情况token应运而生。
在这里我们可以很容易的理解它产生的意义了。没错就是为了防止暴力破解(当然还有其他作用)。
介绍一种token的使用方法
客户机端:客户端只需携带用户名和密码登陆即可。
服务器端:服务器端接收到用户名和密码后并判断,如果正确了就将本地获取sessionID作为Token返回给客户端,客户端以后只需带上请求数据即可。
通常在前端页面上会有一个隐藏的input框,用来暂时存放返回来的id
每次正常登陆时我们提交的表单信息默认发送了这个变量。但是当我们用自动化攻击的时候这个变量确实需要我们自动输入的,看起来这个操作对我们的破解有了一些阻碍,但是仔细分析一下,它真的管用吗。
首先通过观看源码发现它是通过字符串的形式返回过来的,没有做任何图形化处理。并且对于input的value值的获取那也是相当的easy了。并且这个token值是在我们进行攻击之前便返回到我们的页面上的。所以我们完全能有能力获取到这个值。
对于设有token的攻击试验还是和以往相同只不过需要用到buit获取一下token的值,实现可以大致可以看一下这个老哥
https://blog.csdn.net/qq_34376868/article/details/88426478
6. 防范措施
- 使用安全的验证码,如生成和验证均是在后台,返回到前台的是通过图像等特殊处理过的。验证码的生存周期要保证仅能被使用一次,一次之后销毁再生成。
- 也可以在后台做限制,比如超过多少次锁住
- 双因素等
