V2EX › MeirLin 的所有回复 › 第 1 页 / 共 9 页

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

1 2 3 4 5 6 7 8 9

❮

❯

2015 年 11 月 27 日

回复了 qianyugang 创建的主题 › 酷工作 › [深圳] Zealer 招小伙伴啦~~

招安全人员吗

2015 年 10 月 19 日

回复了 macroideal 创建的主题 › PHP › 有没有扫 PHP 源码漏洞的工具, 求推荐

http://www.laruence.com/2012/02/14/2544.html
鸟哥出品。

2015 年 10 月 7 日

回复了 Andor_Chen 创建的主题 › PHP › 送几本《Modern PHP（中文版）》

求抽中

2015 年 9 月 27 日

回复了 nooper 创建的主题 › 程序员 › 据说有一条的短网址会让 andorid 手机中毒，并盗刷银行卡

2L 哈哈哈哈哈哈哈

2015 年 9 月 27 日

回复了 RTNelo 创建的主题 › Python › 一个安全的 Web 用户登录系统应该怎样设计与实现？

@ljdawn 这样其实也无济于事，攻击者可以在用户输入这一步进行诸如撞库类的攻击自动写到表单进行 fuzz 提交就好 .. 所以要防御还需是多面的，目前看来正确使用验证码就可以防御，再加上表单提交的 token 基本不用担心撞库了。当然再加上服务器风控能做到发现大量发包提交就封 ip 也是有效的但是 ip 的获取不能用 XFF ，不然一样可以伪造来绕过，其实撞库就是识别机器行为的博弈，只要机器无法做到就是防御了　当然最重要的是把所有登陆接口都做到防御 ..　挖过阿里撞库的经验

2015 年 9 月 27 日

回复了 RTNelo 创建的主题 › Python › 一个安全的 Web 用户登录系统应该怎样设计与实现？

@ljdawn 哪个位置做 hash 呢？

2015 年 9 月 26 日

回复了 RTNelo 创建的主题 › Python › 一个安全的 Web 用户登录系统应该怎样设计与实现？

@loading 验证码+表单不可重复提交（类似 Token ）即可

2015 年 9 月 26 日

回复了 gancl 创建的主题 › Python › 借贷宝 python 算了一下,3 万人最大可以领 45 亿元出来

开学的时候学校好几个借贷包的摊位，注册送饮料

2015 年 9 月 26 日

回复了 RTNelo 创建的主题 › Python › 一个安全的 Web 用户登录系统应该怎样设计与实现？

@giuem
@vibrance 然后就会出现撞库攻击。