【问题标题】:Spring security 2.0.3 & Dictionary attacksSpring security 2.0.3 和字典攻击
【发布时间】:2011-06-18 15:01:01
【问题描述】:

我正在运行 spring security 2.0.3,我需要实现一个简单的字典攻击块, 植入非常简单,添加了 userstatus 的属性和blocked 的值 当他自上次登录以来有 X 次错误登录尝试时分配该值时。 问题是如何通过 Spring Security 重定向到适当的页面,甚至更好
重定向到 login.jsp 并通过一些会话标记阻止输入(这只是 JS 块,但我仍然需要它), spring security 的 UserDetailService 接口定义了一个 loadByUserName 方法,该方法使我能够抛出我自己的 BadCredentialsException 扩展,但是 ExceptionTranslationFilter 不允许我使用它,是否有内置的方法来使用 spring 或者我必须破解一些东西? 谢谢

【问题讨论】:

  • 您忘记接受之前问题的一些答案

标签: spring-security dictionary-attack


【解决方案1】:

我会看一下documentation. 的第 2.3.5 节。我这样做的方法是实现 Pre-auth 过滤器或 Authentication Processing 过滤器,以实现您对蛮力式攻击的检查。您可能想要创建一个过滤器,在大多数情况下,它只是委托给原始过滤器类,除了检查用户是否提出了太多请求等。或者,您也可以覆盖所有功能,而不必委托给原始过滤器。

【讨论】:

    【解决方案2】:

    实现一个 AuthenticationFailureHandler 更新数据库中的计数/阻塞标志并进行重定向。我不会指望使用会话,因为攻击者无论如何都不会发送 cookie。

    【讨论】:

      猜你喜欢
      • 2018-03-05
      • 2014-08-07
      • 2020-09-23
      • 1970-01-01
      • 1970-01-01
      • 2015-06-26
      • 2018-09-28
      • 1970-01-01
      • 2019-08-17
      相关资源
      最近更新 更多