描述: 使用穷举法一个个猜测密码,是一种针对于密码的破译方法。
危害: 破解成功后即可获取合法用户的权限,甚至可以破解管理员的密码进而控制整个站点。
解决: 解决方案:解决方案: 1、使用验证码进行验证登陆。 2、使用 tokens生成 form_hash,然后验证。 3、使用随机数时,要确保用户无法获取随机数生成算法 4、身份验证需要用户凭短信、邮件接受验证码时,需要对验证次数做限制