我有一个弹性web应用程序托管在亚马逊上,我面临来自某些自动化机器的登录攻击。从我的日志中,很明显他们正在绕过登录页面,并且正在使用类似于:防止来自curl/http post的登录攻击在春季应用程序
curl --data "j_username=xxx&j_password=yyy" http://www.mysecureurl.com/j_spring_security_check
我的问题是如何防止此类攻击。有没有办法阻止登录页面通过弹簧配置不直接进入的登录?
当用户尝试登录页面时,我会执行进一步的安全措施,如验证码,三错后锁定等。
您可以实施a Cross-site Request Forgery(CSRF) - 随机数标记模式。
换句话说,
BTW:
您可以使用这一模式不仅为您的登录页面,但是对于更改服务器状态的所有请求。 (防止CSRF-Attacs)
如果来自同一IP地址的所有请求,你可以使用hasIpAddress表达:
<security:intercept-url pattern="/secure" access="isAuthenticated() and !hasIpAddress('11.11.111.11')" />
更暂时的黑客,因为攻击可以改变他们的IP。
下面是我如何解决我的问题,感谢上述所有答案。
1.添加自定义过滤器,以我的春季安全: <custom-filter position="FORM_LOGIN_FILTER" ref="loginFilter" />
2.In登录控制器,生成一个随机字符串,并把在HTTP会话
String random = UUID.randomUUID().toString().toLowerCase().replaceAll("-", "");
request.getSession().setAttribute("userKeyInSession", random);
3.Also通过这随机键登录页面,以便登录jsp可以提交这个隐藏参数以及表单提交。
model.addAttribute("userKey", random);
return "login";
4.在LoginFilter中,我现在在请求参数和会话中的随机值之间做一个简单的字符串比较。如果它们不匹配,我拒绝并且不继续进行认证。
更多操作:验证码等防止来自UI的攻击..
看起来您正在使用Spring-Security提供的默认请求登录参数。 默认名称属性和密码属性值为j_username和j_password。 因此,如果您将您的登录页面的用户名和密码参数名称属性设置为特定于您的应用程序,那么您将能够避免此类攻击,因为在这种情况下,只有您将知道实际值属性名称和密码,没有其他人,因此没有人能够发送http hack请求给你的应用程序。
知道param的名字是多么困难,即使我改变他们反正..谢谢,但它不会帮助。 – Supra
你可以实现一个Spring AOP来检查你的请求......例如:http://www.mkyong.com/spring/spring-aop-examples-advice/ – Rudy
但是,如何访问httprequest/session中的任何内容这之前的拦截器?我没有线索。 – Supra
在http://stackoverflow.com/questions/3310115/spring-aop-advice-on-annotated-controllers中关注espen答案(示例基于在spring控制器中实现建议)。请注意,该请求必须添加为控制器签名。 – Rudy