網(wǎng)絡(luò)安全防護(hù)很久以前就講過一些專業(yè)知識，下面再講一遍網(wǎng)絡(luò)安全防護(hù)中的登陸密碼傳輸，比較敏感的實(shí)際操作二次驗(yàn)證，手機(jī)客戶端強(qiáng)認(rèn)證，驗(yàn)證的錯(cuò)誤信息，避免暴力破解密碼，系統(tǒng)日志和監(jiān)控等。

**，登陸密碼傳送。

登錄頁和所有后臺必須驗(yàn)證，頁面必須使用SSL、TSL或其他安全傳輸技術(shù)進(jìn)行瀏覽，原始登錄頁必須應(yīng)用SSL、TSL進(jìn)行瀏覽，否則網(wǎng)絡(luò)攻擊會改變登錄頁的action特性，導(dǎo)致用戶登錄憑據(jù)泄露，假如登陸后沒有應(yīng)用SSL、TSL進(jìn)行二次數(shù)據(jù)加密，網(wǎng)絡(luò)攻擊會盜取對未數(shù)據(jù)加密的應(yīng)用程序ID，進(jìn)而嚴(yán)重危害用戶當(dāng)前的主題活動應(yīng)用程序，因此，也應(yīng)盡量對登陸密碼進(jìn)行二次數(shù)據(jù)加密，然后進(jìn)行傳送。

第二，對比較敏感的實(shí)際操作進(jìn)行第二驗(yàn)證。

從而減輕CSRF、應(yīng)用程序被劫持等系統(tǒng)漏洞的危害，在更新賬戶比較敏感的信息內(nèi)容(如客戶登錄密碼、電子郵件、買賣詳細(xì)地址等)之前必須進(jìn)行賬戶認(rèn)證，如果沒有這類對策，網(wǎng)絡(luò)攻擊不必了解客戶的憑據(jù)，就可以根據(jù)CSRF、XSS攻擊進(jìn)行比較敏感的實(shí)際操作，如果沒有這類對策，網(wǎng)絡(luò)攻擊就不會了解客戶的電腦資料。

手機(jī)客戶端的強(qiáng)力認(rèn)證。

應(yīng)用第二要素運(yùn)行程序以檢查客戶是否具有較敏感的實(shí)際操作能力，典型實(shí)例有SSL、TSL手機(jī)客戶端身份認(rèn)證，別稱SSL、TSL雙重校檢，校檢由手機(jī)客戶端和服務(wù)器端組成，在SSL、TSL揮手整個(gè)過程中分別推送各自的資格證書，正如應(yīng)用服務(wù)器端的資格證書要授予組織(CA)校檢網(wǎng)絡(luò)服務(wù)器真正有效一樣，網(wǎng)絡(luò)服務(wù)器能夠應(yīng)用第三方CS或自己的CA校檢客戶端證書真正有效，因此，服務(wù)器端一定要為客戶出示為它轉(zhuǎn)換的資格證書，并將資格證書分派給相應(yīng)的值，以方便用戶以此值確定與資格證書匹配的客戶。

第四，驗(yàn)證錯(cuò)誤。

如果未正確保存驗(yàn)證失敗后的錯(cuò)誤，則可將其用于枚舉類型客戶ID使用登陸密碼，程序運(yùn)行應(yīng)采用通用方式進(jìn)行相對操作，無論登錄名或密碼錯(cuò)誤，都不能對當(dāng)前客戶的情況進(jìn)行表名。錯(cuò)誤的相對實(shí)例：登錄失敗，登錄密碼無效；登錄失敗，登錄客戶無效；登錄失敗，登錄名不正確；登錄失敗，密碼錯(cuò)誤；適當(dāng)?shù)南鄬?shí)例：登錄失敗，登錄名或登錄密碼無效。有些程序運(yùn)行時(shí)返回的錯(cuò)誤雖然是相同的，但返回的狀態(tài)碼卻不同，這種情況也會暴露出賬戶的基本信息。

避免用暴力破解密碼。

對Web程序運(yùn)行實(shí)施暴力破解密碼是一件很容易的事，假如程序運(yùn)行不容易因?yàn)槎啻悟?yàn)證失敗而導(dǎo)致帳號被禁止使用，那么網(wǎng)絡(luò)攻擊將有機(jī)會不斷猜想登錄密碼，進(jìn)行不斷暴力破解密碼，直到帳戶被攻占。多種處理方法有多重因素驗(yàn)證、SMS驗(yàn)證碼、個(gè)人行為檢查(阿里云服務(wù)器、極驗(yàn)等服務(wù)項(xiàng)目都提供)。

六、系統(tǒng)日志和監(jiān)控。

可以方便地檢查驗(yàn)證信息內(nèi)容的記錄和監(jiān)控是否能方便地檢查進(jìn)攻性和常見故障。

記錄所有登錄失敗的實(shí)際操作過程；

記錄所有密碼錯(cuò)誤的實(shí)際操作過程；

3、記錄所有帳號鎖定的登陸；以上這些都是防止網(wǎng)站被攻擊的方法，如果確實(shí)無法修復(fù)存在漏洞的話可以咨詢專業(yè)網(wǎng)站安全公司進(jìn)行處理，建議可以找我們盛世傳媒專業(yè)的安全公司來處理。