前提:這裡僅對token對防暴力破解的意義進行討論,不涉及到其他防暴力破解措施,比如驗證碼等。
看到很多文章都說加token可以防止暴力破解,但並沒有說為什麼。
據小弟的認識,給表單加token (type=“hidden”)後,這個token不管演算法多厲害,但是總歸會在前端源碼中輸出,暴力破解者仍然可以在提交認證前擷取它,因此token是不是就失去了防暴力的意義了?
如果可以防止,又是什麼邏輯呢? 麻煩哪位英雄指點一二。謝謝。
回複內容:
前提:這裡僅對token對防暴力破解的意義進行討論,不涉及到其他防暴力破解措施,比如驗證碼等。
看到很多文章都說加token可以防止暴力破解,但並沒有說為什麼。
據小弟的認識,給表單加token (type=“hidden”)後,這個token不管演算法多厲害,但是總歸會在前端源碼中輸出,暴力破解者仍然可以在提交認證前擷取它,因此token是不是就失去了防暴力的意義了?
如果可以防止,又是什麼邏輯呢? 麻煩哪位英雄指點一二。謝謝。
表單token的作用是防止重複提交和CSRF,你的思路沒錯,破解方只要擷取到輸出到token值直接提交就可以了。防暴力破解應該理解成防止自動化腳步快速請求以達到破解的目的,所以驗證碼類防爆破是目前的主流。
沒什麼用。防帳號破解不如考慮一下密碼3次錯鎖定帳號15分鐘之類的,雖然不去根,但是破解時間極大的延長了。當然如果你一下子鎖12小時,一天能嘗試6次,一年2200次,估計有生之年沒希望了。
沒人回答。。5555.
個人覺得,token對CSRF攻擊是有效,因為隨機碼給攻擊者在“偽造請求”時造成了很大的困難。
token一般用於防止重複提交,用於提交後,點擊瀏覽器重新整理按鈕,或者後退按鈕提交,並不能解決暴力破解問題,除非再加上驗證碼或者速度檢測
當然csrf攻擊放到也是令牌的一大用處
token抓下來,接著上次的密碼再繼續請求就可以了 ,可以多弄幾台機器,每台機器分一個區間,分布式破解
防止重複提交還行,但是弊端也很大的說,就是 防君子不防小人,給正常人增加難度而已.
大兄弟可以去看看yii2.0如何防止csrf攻擊的