Ir para conteúdo

POWERED BY:

Arquivado

Este tópico foi arquivado e está fechado para novas respostas.

luiz14

Brute force em sitema de login

Por , em PHP

Recommended Posts

luiz14    16

luiz14
Postado

Atualmente estou visando a segurança do meu site. Criei um sistema de login que após N tentativas cria um captcha e após N tentativas com o captcha bloqueia o usuário com cookie e caso ele tire o cookie, bloqueia ele pelo ip no lado do servidor, mas vi que exitem formas do usuário mascarar o ip como por exemplo com o tor browser. Se ele tem um ip dinamico eu não conseguirei bloqueá-lo pelo ip, estou certo?  Eu gostaria de saber se existe uma maneira melhor de bloquear o usuário que utiliza de métodos para burlar sistemas e também vi que há um problema de bloquear pelo ip, pois você pode bloquear outros usuários que nada tem haver com o problema.

Compartilhar este post

Link para o post
Compartilhar em outros sites

BrunoBit    82

BrunoBit
Postado

Faz um bloqueio temporário no usuário que o indivíduo ta tentando acessar, informa que ele só poderá fazer uma nova tentativa após confirmar via email. Bloquear por cookie e por ip nesses casos é bem ineficaz mesmo, nessas situações o cookie e o ip seriam mais pra ajudar na segurança em segundo plano. Tem que fazer algo no lado do servidor.

 

Algumas opções (opções tudo no lado do servidor):

Opção 1 : bloquear o acesso do usuário que ta sofrendo tentativa de brute force e só deixar ele relogar acessando o email dele, clicando em algum link no email e confirmando.

Opção 2 : Após N tentativas enviar um sms pro número do celular do usuário e só liberar o login desse usuário quando ele confirmar o código enviado por sms.

Opção 3: Colocar um sistema de autenticação de 2 fatores.

E você pode pensar em várias outras opções, mesclar elas e tudo mais, e pra ser eficaz vai ter que ser tudo no lado do servidor, ip e cookie use somente pra complementar a segurança.

Compartilhar este post

Link para o post
Compartilhar em outros sites

luiz14    16

luiz14
Postado

Eu bloqueio o ip no lado do servidor, o cookie que é do lado do cliente, mas o problema estava em pessoas que mascaram o ip, porém lendo o que você colocou eu tive uma ideia, na opção 1 e 2 você está falando de bloquear através do email após N tentativas do cracker, né? Porque o email ele não pode mascarar e depois de N tentativas aquele email especifico seria bloqueado e só seria desbloqueado após uma confirmação através do email do usuário . Acho que a opção 3 iria irritar o usuário, toda vez que ele entrasse iria ter que confirmar a senha e depois um email ou sms.

Compartilhar este post

Link para o post
Compartilhar em outros sites

BrunoBit    82

BrunoBit
Postado

Ip você pode armazenar ele no seu servidor, mas o ip o usuário consegue controlar mudando ele facilmente como você disse, aí nesse caso seria ineficaz mesmo, a solução é fazer algo usando as informações que estão totalmente dentro do servidor, usando as próprias informações dos usuários, pra bloquear pra fazer verificações, disparar emails de confirmações, frases de segurança e etc. No caso de fazer verificação via email o atacante teria que ter acesso ao email do usuário, seja hotmail, gmail e etc, já é uma dificuldade a mais pra dar uma inibida no atacante.

2 fatores é complicado é meio chato mesmo dependendo da aplicação, ele é bom quando se trata de logins onde tem dados muito sensíveis dentro do painel, aí os usuários não reclamariam.

Compartilhar este post

Link para o post
Compartilhar em outros sites
Ir para a lista de tópicos PHP

  • Conteúdo Similar

    • Rafael_Ferreira
      Não consigo carregar imagem do captcha no meu formulário
      Por Rafael_Ferreira
      Não consigo carregar a imagem do captcha do meu formulário. Foi testado com o xampp e easyphp. Também não carregou a imagem de outros captcha. 
       
       
    • luiz monteiro
      Evitar que o navegador limpe os campos de input quando a guia perde o foco
      Por luiz monteiro
      Olá.
      Estou atualizando meu conhecimento com Front-End e me deparei com o seguinte problema.
      Criei um sistema para fazer o upload de imagens e alguns campos text.
      Algo bem simples para depois começar a estudar javascript para mostrar a miniatura....
      Mas quando saio do navegador Chrome ou da aba por mais de 3 minutos, ao retornar o navegador as vezes atualiza ou nem chega atualizar mas limpa os campos.
      Estou usando um Smart Motorola com Android, mas um amigo testou no iPhone e acontece a mesma coisa.
      Gostaria de saber se há como usar javascript para evitar isso?
      Agradeço desde já.

      <!DOCTYPE html>
      <html>
      <head>
          <meta charset="utf-8">
          <meta name="viewport" content="width=device-width, initial-scale=1">
          <title>Uploader</title>
      </head>
      <body>
          <form action="?" method="post" enctype="multipart/form-data">
              <br><br>
              <div>selecione a imagem 1</div>
              <input type="file" name="foto1" accept="image/*">
              <br><br>
              <input type="text" name="nome_imagem1">
              
              <br><br>
              <input type="file" name="foto2" accept="image/*">
              <br><br>
              <input type="text" name="nome_imagem2">
              
              <br><br>

              <input type="file" name="foto3" accept="image/*">
              <br><br>
              <input type="text" name="nome_imagem3">
              
              <br><br>
              <input type="submit" value="Enviar">
              <br><br>
          </form>
      <?php
      if ($_SERVER['REQUEST_METHOD'] == 'POST')
      {
          vardump ($_FILES);
      }
      ?>
      </body>
      </html>
       
       
       
    • belann
      Navbar no Nextjs
      Por belann
      Olá!
       
      Estou usando o nextjs versão 15.2.3 e criei uma navbar que quando é carregado o programa aparece com a home, mas na hora de clicar na página produtos desaparece a navbar.
      A navbar esta sendo chamada no layout.tsx estou usando typescript
      e fica dessa forma
      <div>           <Navbar/>             <main>{children}</main>             </div>  
    • luiz monteiro
      php + mysql - where do select em campo varchar com dados numéricos com zeros a direita
      Por luiz monteiro
      Olá, tudo bem?
       
      Estou melhorando meu conhecimento em php e mysql e, me deparei com o seguinte. A tabela da base de dados tem um campo do tipo varchar(8) o qual armazena números. Eu não posso alterar o tipo desse campo. O que preciso é fazer um select para retornar o números que contenham zeros a direita ou a esquerda.
      O que tentei até agora
       
      Ex1
      $busca = $conexao->prepare("select campo form tabela where (campo = :campo) ");
      $busca->bindParam('campo', $_REQUEST['campo_form']);
       
      Se a direita da string $_REQUEST['campo_form'] termina ou inicia com zero ou zeros, a busca retorna vazio.
      Inseri dados numéricos, da seguinte maneira para testar: 01234567;  12345670: 12345678: 12340000... entre outros nessa coluna. Todos os valores que não terminam ou não iniciam com zero ou zeros, o select funciona.
       
       
      Ex2
      $busca = $conexao->prepare("select campo form tabela where (campo = 0340000) ");
      Esse número está cadastrado, mas não retorna.
       
      Ex3
      $busca = $conexao->prepare("select campo form tabela where (campo = '02340001' ) ");
      Esse número está cadastrado, mas não retorna.
       
       
      Ex4
      $busca = $conexao->prepare("select campo form tabela where (campo like 2340000) ");
      Esse número está cadastrado, mas não retorna.
       
      Ex5
      $busca = $conexao->prepare("select campo form tabela where (campo like '12340000') ");
      Esse número está cadastrado, mas não retorna.
       
      Ex6
      $busca = $conexao->prepare("select campo form tabela where (campo like '"12340000"' ) ");
      Esse número está cadastrado, mas não retorna.
       
       
      Ex7
      $busca = $conexao->prepare("select campo form tabela where (campo like :campo) ");
      $busca->bindParam('campo', $_REQUEST['campo_form'])
      Não retorna dados.
       
      O  $_REQUEST['campo_form'] é envio via AJAX de um formulário. 
      Usei o gettype para verificar o post, e ele retorna string.
      Fiz uma busca com número 12345678 para verificar o que o select retorna, e também retrona como string.
       
      Esse tipo de varchar foi usado porque os números que serão gravados nesse campo,  terão zeros a direita ou na esquerda. Os tipos number do mysql não gravam zeros, então estou usando esse. O problema é a busca.
      Agradeço desde já.
       
       
    • daemon
      lendo RSS com PHP mostrando a imagem de preview
      Por daemon
      Boa tarde,
       
      Eu tenho uma rotina que faz uma leitura do arquivo .xml de vários sites.

      Eu consigo pegar o tópico e a descrição, e mostrar a imagem que esta na pagina do link.
      Para isso utilizo esta função:
      function getPreviewImage($url) { // Obter o conteúdo da página $html = file_get_contents($url); // Criar um novo objeto DOMDocument $doc = new DOMDocument(); @$doc->loadHTML($html); // Procurar pela tag meta og:image $tags = $doc->getElementsByTagName('meta'); foreach ($tags as $tag) { if ($tag->getAttribute('property') == 'og:image') { return $tag->getAttribute('content'); } } // Se não encontrar og:image, procurar pela primeira imagem na página $tags = $doc->getElementsByTagName('img'); if ($tags->length > 0) { return $tags->item(0)->getAttribute('src'); } // Se não encontrar nenhuma imagem, retornar null return null; } // Uso: $url = "https://example.com/article"; $imageUrl = getPreviewImage($url); if ($imageUrl) { echo "<img src='$imageUrl' alt='Preview'>"; } else { echo "Nenhuma imagem encontrada"; }  
      Mas estou com um problema, esta funcão funciona quando coloco em uma pagina de teste.php. Preciso mostrar em uma página inicial diversas fotos de todos os links. (No caso acima só funciona 1).
×

Informação importante

Ao usar o fórum, você concorda com nossos Termos e condições.

  Aceito