龙空技术网

登录被暴力破解及验证码失效问题

业余户外运动爱好者 1805

前言:

今天同学们对“用ajax做登陆校验”大致比较重视,我们都需要分析一些“用ajax做登陆校验”的相关知识。那么小编同时在网上收集了一些关于“用ajax做登陆校验””的相关内容,希望你们能喜欢,姐妹们一起来学习一下吧!

一、问题描述

系统登录被暴力破解,验证码也失效

二、原因分析

在正式登录前,有个ajax操作先单独交易验证码是否有效,校验通过后没有立刻清理这个验证码,而是继续在正式登录时继续使用,这样验证码可以被破解工具通过报文绕过去了,被绕过去的原因是验证码是对当前用户的session是一直有效的,网上一般都是在讲解如何使用验证码,但使用后如何处理没有说明。

三、解决方案

1.正确的用法是应该访问一次后立刻失效,后者登录后立刻失效,可以避免这个问题

2.记录5次登录失败后10分钟不再进行用户和密码的校验

标签: #用ajax做登陆校验