c137rick 最近的时间轴更新 c137rick 最近的时间轴更新 |
c137rickV2EX 第 496672 号会员,加入于 2020-06-28 16:58:49 +08:00 |
c137rick 最近回复了
2021-05-01 16:05:04 +08:00 回复了 c137rick 创建的主题 › 程序员 › 搞了一个五秒盾方案,大伙帮忙看看都有哪些漏洞。 |
@discrete #30 鬼才
2021-05-01 16:03:59 +08:00 回复了 c137rick 创建的主题 › 程序员 › 搞了一个五秒盾方案,大伙帮忙看看都有哪些漏洞。 |
2021-05-01 11:58:17 +08:00 回复了 c137rick 创建的主题 › 程序员 › 搞了一个五秒盾方案,大伙帮忙看看都有哪些漏洞。 |
2021-04-30 18:46:35 +08:00 回复了 c137rick 创建的主题 › 程序员 › 搞了一个五秒盾方案,大伙帮忙看看都有哪些漏洞。 |
@woodensail #18 好像有一个问题,首次访问时只需要修改一下 time 就能绕过了,这应该是一个漏洞。我打算用让 time 参加到 code 的生成过程中,这样应该就没问题了。
2021-04-30 18:45:17 +08:00 回复了 c137rick 创建的主题 › 程序员 › 搞了一个五秒盾方案,大伙帮忙看看都有哪些漏洞。 |
@suomy #15 确实,time 可能被伪造,我生成 code 时算上 time 吧。谢了!
2021-04-30 18:41:14 +08:00 回复了 c137rick 创建的主题 › 程序员 › 搞了一个五秒盾方案,大伙帮忙看看都有哪些漏洞。 |
@woodensail #18 重放确实不防,不过五秒盾的后面还有一个限制 IP 访问频率的机制,应该可以缓解一下。我是希望使用这两种机制来缓解一下来自代理池的攻击。
2021-04-30 18:38:29 +08:00 回复了 c137rick 创建的主题 › 程序员 › 搞了一个五秒盾方案,大伙帮忙看看都有哪些漏洞。 |
@woodensail #17 Cookie 生成算法是可以公开的,因为生成 code 时用到了服务端的一个长度为 128 的随机字符串。对方知道算法也没办法伪造吧?攻击者可以伪造 uid 和 time,但是 code 生成时不仅使用了客户端 IP 和 uid,还使用了一个仅存储在服务端的随机字符串,所以 code 应该时不能伪造的。大概没问题吧?
2021-04-30 18:25:58 +08:00 回复了 c137rick 创建的主题 › 程序员 › 搞了一个五秒盾方案,大伙帮忙看看都有哪些漏洞。 |
@suomy #15 只有在客户端提供的 code 和服务器计算的 code 相同时才会判断时间,如果 code 对不上是不会走到判断时间这一步的。
2021-04-30 18:21:52 +08:00 回复了 c137rick 创建的主题 › 程序员 › 搞了一个五秒盾方案,大伙帮忙看看都有哪些漏洞。 |
@chairuosen #14 延迟五秒后五秒盾就不会再起作用了,后续会有专门的机制限制 IP 的访问频率。想使用这两个机制稍微抵抗一下代理池。
2021-04-30 18:17:50 +08:00 回复了 c137rick 创建的主题 › 程序员 › 搞了一个五秒盾方案,大伙帮忙看看都有哪些漏洞。 |
@lychs1998 我没有描述清楚,这个五秒盾只是首次访问的时候延迟五秒,之后就不会延迟了。
Select Language