昨天我因為我網站(http://freesms.cloudapp.net )收到了惡意攻擊,我發布了ASP.NET網站限制訪問頻率一文,引起了部落格園各位高手的激烈討論,很多朋友朋友提出了一些疑問與改進意見,我感到非常開心。後來我也繼續思考了很多,現將我的想法寫下來,希望高手們再來看看,不吝賜教。o(∩_∩)o
在眾多網友中,最需要感謝的是在部落格園網友王瑋。你的由“ASP.NET網站限制訪問頻率”想到的兩點問題 一文中,提到了兩個問題:第一是驗證碼不能夠明文存在Cookie中;第二是IP地址可以欺騙某些驗證方式。
這兩個問題非常好,非常感謝 。 第一個問題確實存在的,我現在已經用了加密,已經不能夠繞過驗證了。第二個問題對於我的系統來說是不存在的,因為My Code中並沒有使用你說的那兩種擷取IP的方式,你無法欺騙我的系統。
總結了大家的觀點,我們主要做以下幾點討論:
public static string GetMd5(string str) { string cl =DateTime.Now.Month+ str + DateTime.Now.Day;//將真實驗證碼加上首碼與尾碼後再加密; string pwd = ""; MD5 md5 = MD5.Create();//執行個體化一個md5對像 // 加密後是一個位元組類型的數組,這裡要注意編碼UTF8/Unicode等的選擇 byte[] s = md5.ComputeHash(Encoding.UTF8.GetBytes(cl)); s.Reverse(); //翻轉產生的MD5碼 // 通過使用迴圈,將位元組類型的數群組轉換為字串,此字串是常規字元格式設定化所得 for (int i = 3; i < s.Length-1; i++) //只取MD5碼的一部分;惡意訪問者無法知道我取的是哪幾位。 { // 將得到的字串使用十六進位類型格式。格式後的字元是小寫字母,如果使用大寫(X)則格式後的字元是大寫字元 pwd = pwd + (s[i]<198?s[i]+28:s[i]).ToString("X"); // 進一步對產生的MD5碼做一些改造。 } return pwd; }
暫時就這些吧。。希望大家繼續給點意見,也可以去我的網站(http://freesms.cloudapp.net/)試試,看你能不能夠找到漏洞進行破解 。o(∩_∩)o 非常感謝部落格園的朋友,跟你們交流我非常開心!
Start building with 50+ products and up to 12 months usage for Elastic Compute Service
1 on 1 presale consultation
24/7 Technical Support 6 Free Tickets per Quarter Faster Response
Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.
A comprehensive suite of global cloud computing services to power your business
Payment Methods We Support
