Назад | Перейти на главную страницу

Как предотвратить перебор паролей в веб-приложении?

У меня есть веб-приложение на php (nginx + php-fpm). А кто-то пытается подобрать пароль. У него много IP. Также этот брутфорс работает как DDOS, потому что каждый раз, когда веб-приложение запускается и пытается обработать запрос. И fail2ban забанит ip после maxretry раз. Но у меня тысячи запросов, и каждый запрос отправляется по разному ip. Как предотвратить первый запрос POST для входа в систему без запуска веб-приложения? Потому что обычный пользователь не может сначала отправить свой запрос как запрос POST.

На вас атакует ботнет.

Вот конкретное решение для вашего веб-приложения nginx

HttpLimitReqModule

В общем, это следующие шаги:

-Для определенных атакованных учетных записей дайте им возможность разрешить вход только с определенных IP-адресов.

-Назначьте уникальные URL-адреса для входа блокам пользователей, чтобы не все пользователи могли получить доступ к сайту с одного и того же URL-адреса.

-Используйте CAPTCHA для предотвращения автоматических атак.