Spring MVC Web应用程序检测暴力攻击的最佳方法?
2022-09-03 01:31:52
Spring 3.0 MVC 中是否有任何专门功能可帮助在 Web 应用的身份验证/登录页面上实现暴力攻击检测?
答案 1
经过长期验证的做法是在身份验证失败时引入随机但相当大的延迟。
这样,合法用户将立即登录,但攻击者每次尝试将花费500ms-1s,这使得整个暴力破解的想法不切实际(将永远花费)。
合法用户偶尔登录失败只会给他们带来轻微的延迟,并且不会被注意到。
如果需要在重复失败登录时收到通知,则需要实现一个报告,打印每个用户的后续失败登录次数,按该数字排序,限制为 100。
附言:这是一篇解释如何在登录尝试时收到通知的帖子。我相信,遵循同样的方法,可以引入延迟。
答案 2
通过Spring安全性中的某些配置和编码可以实现。
顺便说一句,我不建议在可疑的无效登录试用之前进行一些延迟。您可能会在响应可疑的登录尝试时进行一些延迟,但这种延迟会花费您在应用程序中暂停线程一段时间。如果您的应用程序同时发生大量无效登录,这可能会对您的系统进行 DoS 或 DDoS 攻击。
更好的方法是对可疑的无效登录做出快速响应,但同时暂停用户尝试登录的用户帐户。这样,暴力破解攻击的规避不会导致提供 Dos 或 DDoS 攻击。
然而,暂停用户帐户也会为DoS攻击提供一种方式,因为它可能导致无法向真实用户提供服务。但是,在这些情况下,正确的安全方案会有所帮助。例如,如果检测到暴力攻击,您可以:
- 显示一些验证码,
- 暂停帐户,电子邮件或短信帐户所有者更改密码
- 或者,在通知帐户所有者更改密码的同时暂停帐户一段时间,
- ...
所有这些都取决于您的域和服务方案。例如,您可以实现自己的用户详细信息服务,并在此实现中检测暴力攻击。
为了实现Spring Security的最后一个场景,下面的代码声明了一个身份验证管理器,该管理器传递了一个自定义的UserDetailsService,该服务的类型是JdbcDaoImpl(请注意,包名称和查询必须修改为您自己的包和数据模型)。
<authentication-manager alias="authenticationManager" xmlns="http://www.springframework.org/schema/security">
<authentication-provider user-service-ref="CustomUserDetailsService" />
</authentication-manager>
<!--
This bean is to provide jdbc-user-service.
Also, it provides a way to avoid BFD along with AuthenticationFailureListener
-->
<bean id="CustomUserDetailsService" class="com.example.CustomUserDetailsService">
<property name="dataSource" ref="dataSource" />
<property name="usersByUsernameQuery" value="SELECT user_client.user_name, user_client.password, user.is_active
FROM user_client INNER JOIN user ON user_client.fk_user = user.ID
WHERE user_client.user_name=? "/>
<property name="authoritiesByUsernameQuery" value="SELECT user_client.user_name, CONCAT('ROLE_',user_client.client_id)
FROM user_client WHERE user_client.user_name=? "/>
</bean>
CustomUserDetailsService 检测是否存在暴力攻击,以及我即将讨论的 AuthenticationFailureListener。FailedLoginCacheManager 是一个 ehcache 包装器,用于维护失败的登录(用户名)及其相对失败的数量。缓存设置了适当的时间ToIdleSeconds以使帐户暂时暂停。
public class CustomUserDetailsService extends JdbcDaoImpl {
@Autowired
private FailedLoginCacheManager cacheManager;
@Override
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
if (cacheManager.isBruteForceAttackLogin(username)) {
//throw some security exception
...
}
return super.loadUserByUsername(username);
}
}
此外,还实现了应用程序管理器来检测失败的登录尝试,并将它们保留在 ehcache 中。
@Component public class AuthenticationFailureListener implements ApplicationListener<AuthenticationFailureBadCredentialsEvent> {
@Autowired
private FailedLoginCacheManager cacheManager;
@Override
public void onApplicationEvent(AuthenticationFailureBadCredentialsEvent event) {
UsernamePasswordAuthenticationToken token = (UsernamePasswordAuthenticationToken) event.getSource();
String userName = token.getPrincipal().toString();
cacheManager.updateLoginFailureStatus(userName);
}}
没有必要讨论更多关于 FailedLoginCacheManager 服务的信息,但这里讨论的两种主要方法可以像以下方法一样实现:
public void updateLoginFailureStatus(String userName) {
Cache cache = manager.getCache(CACHE_NAME);
Element element = cache.get(userName);
if (isValid(element)) {
int failureCount = (Integer)element.getObjectValue();
cache.remove(userName);
cache.put(new Element(userName, ++failureCount));
} else {
cache.put(new Element(userName, 1));
}
}
public boolean isBruteForceAttackLogin(String username) {
Cache cache = manager.getCache(CACHE_NAME);
Element element = cache.get(username);
if (isValid(element)) {
int failureCount = (Integer)element.getObjectValue();
return failureCount >= 3;
} else {
return false;
}
}
推荐
-
如何更改最近应用程序列表显示的快照? 在较新版本的Android(>3.0)中,有一个屏幕按钮,将显示最近使用的应用程序及其名称和快照的列表。即使我的应用本身受密码保护,此概述也可能在该快照中显示敏感数据。那么有没有办法强
-
-
Diffie-Hellman 在 Java 中的密钥交换 我正在用Java进行一个个人项目,该项目涉及通过不安全的通道发送敏感数据。我需要知道如何使用其库在java中实现Diffie Hellman密钥交换(DHKE)。我知道所有关于它的加密理论,所以不需要详细
-
如何向 Spring MVC 控制器方法添加自定义安全注释 我正在使用Java 8,Spring MVC 4,Spring Boot和Gradle作为我的REST应用程序。 我想通过某些Spring MVC 4控制器中的自定义方法注释为我的REST应用程序添加安全性。 下面是一个基本示例。 主控制器.java
-
标签
推荐