我有一个网站,供用户重置此帐户,并向他们发送了一封确认码,但是,经过讨论,这似乎是一个巨大的安全漏洞。我想制作一个可以使用的小应用程序,并向老板展示该网站有多不安全。

基本上,代码的长度是12个字符,最后4个是固定的,并且仅使用十六进制字符0-9和a-f

所以我的理论是,黑客知道用户名是否可以蛮横地使用确认码,从而使用户密码毫无价值。

有人知道开始制作这样的程序的好地方吗?

我知道这是一个带有代码的编程问题,但我认为将其发布是有效的。如果没有,请引导我到.net编程论坛,我可以回答我的问题。

最佳答案

http://www.owasp.org/index.php/Blocking_Brute_Force_Attacks
http://www.codeproject.com/KB/architecture/brute-force-attack.aspx
http://www.xdevsoftware.com/blog/post/User-Authentication-in-ASPNET-to-Prevent-Brute-Force-Attacks.aspx

这可能会让您入门...

关于.net - 蛮力确认码?,我们在Stack Overflow上找到一个类似的问题:https://stackoverflow.com/questions/3466607/

10-10 10:24