我有一个运行Classic-ASP的站点,在登录页面上我想延迟对失败的登录尝试的响应(大约10秒),以帮助防止对账户的暴力攻击.
快速谷歌搜索显示一些使用sql服务器查询的黑客攻击似乎是hack-tastic.
在经典的asp中有一个很好的方法吗?
解决方法
我不会像许多人已经这样做的那样回答你的具体问题,但是有更好的方法可以防止暴力攻击.
例如:
>为什么不在说出5(这里很慷慨)失败登录尝试后锁定特定会话或IP地址?你可以把它锁定10分钟.您甚至可以编写“401 Unauthorized”HTTP状态,然后使用Response.End结束响应.
>以类似的方式,但甚至没有链接到失败的登录,您可以在Y秒内阻止对登录页面的请求超过X次特定IP,UserAgent和其他客户端功能 – 确保类型的“唯一”客户端.
>忽略IP地址(它很容易被欺骗,可以是代理服务器IP),只是检测登录尝试的自动化.对于特定用户名/电子邮件地址,在Y秒内失败登录的X次数,在设定的时间段内阻止该用户名,并结束响应.
只是说除了通过锁定一些资源并等待在服务器上施加不必要的负载之外还有其他选择.
显然,在硬件层执行此操作 – 防火墙等将是首选选项.
