代码之家  ›  专栏  ›  技术社区  ›  Matt Sheppard

在Spring Security AuthenticationProvider中添加人为延迟,而不使DOS攻击更容易

owasp spring-security java
  •  4
  • Matt Sheppard  · 技术社区  · 6 年前

    OWASP suggests 防止暴力密码猜测的一个可能对策是在检查密码时添加一个人工延迟。

    1 回复  |  直到 6 年前
        1
  •  0
  •   Arjun    5 年前

    编辑2.0

    随着 Servlet 3.0版 ,为异步处理支持添加了支持,使添加人工延迟变得简单。

    问题:不支持异步处理的中间筛选器

    AttmeptFilter 在filterchain的基础上,在任何不兼容的过滤器潜入并应用我们添加延迟的逻辑之前。

    在我们之前的方法中,我们只依赖超时,这无助于导致异常终止请求。我有一张地图 AsyncContext

    失败尝试的次数由一个专门的服务管理,该服务侦听和管理每一次尝试 AbstractAuthenticationEvent

    对特定主体和主机地址的尝试被最外层的过滤器在指定的时间内通过可能的最少检查(甚至没有达到spring security)阻止,并且阻止时间随着失败尝试次数的增加而增加。

    在github签出代码 https://github.com/yourarj/spring-security-prevent-brute-force

    enter image description here

    推荐文章
    Ted Yu  ·  用于OSWAP ESAPI的Sybase编解码器
    6 年前
    TEH EMPRAH  ·  ZAP不断扫描不必要的URL
    7 年前
    MADCookie  ·  ServiceStack元数据页上的链接是否应该编码?
    7 年前
    Shubham Jain  ·  如何使用命令行操作(即Jenkins)自动运行owsap zap
    7 年前
    dangel  ·  Modsecurity-“主机头是数字IP地址”错误的重定向循环
    8 年前
    hina10531  ·  检查所有参数以防止注射攻击是一种好的做法吗?
    9 年前
    Blanca Hdez  ·  重写ESAPI OWASP方法java
    12 年前
    关于   移动版
    代码之家 - 一站式码农服务社区
    沪ICP备11025650号