私は春のセキュリティ2.0.3を実行しており、簡単な辞書の攻撃ブロックを実装する必要があります。 埋め込みは非常に簡単で、userstatusのプロパティとブロックされた値を追加します 最後のログインからX回のログイン試行が間違っているときに値が割り当てられたとき。 問題は、スプリングセキュリティを介して適切なページにリダイレクトする方法です。
login.jspにリダイレクトされ、いくつかのセッションマーカーが入力をブロックします(これはJSブロックだけですが、まだ必要です)。 スプリングセキュリティのUserDetailServiceインターフェイスは、私自身のBadCredentialsException拡張をスローすることを可能にするloadByUserNameメソッドを定義しますが、ExceptionTranslationFilterは私にそれを利用させません。春にそれを行う方法が組み込まれているか、何かをハックする必要がありますか? おかげ春のセキュリティ2.0.3と辞書の攻撃
0
A
答えて
0
私はこれを行うような方法がPre-auth
フィルターやブルートフォーススタイルの攻撃からあなたの小切手を実装Authentication Processing
フィルタのいずれかを実装しているdocumentation.のセクション2.3.5を見てみましょう。ほとんどの場合、元のフィルタクラスに委任するフィルタを作成することをお勧めします。ただし、ユーザーがリクエストを多すぎたかどうかを確認するチェックは除きます。元のフィルタに委譲します。
0
DB内のカウント/ブロックフラグを更新し、リダイレクトを実行するAuthenticationFailureHandlerを実装します。とにかく、攻撃者がクッキーを送信しないため、セッションを使用することには期待していません。
+0
良い点ericacm!クッキーに関しては、ありがとう – Amnon
関連する問題
- 1. HTTPS攻撃とMITM攻撃
- 2. セキュリティ - 何らかのjQuery攻撃?
- 3. 潜在的なセキュリティ攻撃のエンドポイントとしてのLiClipse
- 4. ACUNETIX - ログインページのパスワード推測攻撃 - ブルートフォース攻撃とアカウントロックアウト
- 5. CSRF攻撃のブラックリスト
- 6. XSSの攻撃ベクトル
- 7. WebRtcのMitm攻撃
- 8. Python辞書攻撃は最後のハッシュを解決するだけです
- 9. Bash辞書攻撃 - プロセスを実行するのではなく辞書全体を印刷する
- 10. バッファオーバーフロー攻撃
- 11. XSS攻撃
- 12. 防御攻撃
- 13. ヒープオーバーフロー攻撃
- 14. クロスサイトスクリプティング攻撃、トラブル
- 15. Java:レイジーロードシングルトンとリフレクション攻撃?
- 16. バイパスアンチDDoS攻撃PhantomJsとSelenium
- 17. Sqlインジェクション攻撃とサブソニック
- 18. AzureトラフィックマネージャとDDoS攻撃
- 19. 攻撃ベースのテキストベースのRPG
- 20. GETリクエストによるCSRF攻撃に対するセキュリティ?
- 21. XSS攻撃防止
- 22. OpenGL Depth Spaz攻撃
- 23. C#のXSS攻撃防御
- 24. フォーマットストリングCでの攻撃
- 25. クリックジャック攻撃の防止
- 26. Xランタイムヘッダー関連の攻撃
- 27. CheckMarx XSRF攻撃の問題
- 28. synflood攻撃のpythonエラー
- 29. AWS CloudFront for Ddosの攻撃
- 30. OAuth攻撃を防止する方法(攻撃シナリオを参照)
あなたは以前の質問の答えを受け入れるのを忘れました – Jacco