0、写在前面 本来只想做个验证码的功能实现，后来想想光要验证码也不行，干脆写整个防爆破的实现吧 1、防护软件/硬件Waf/Web服务器限制单IP固定时间段的登陆频率 1.1 作用 通过WAF可以实现某一个IP访问频率过高时则将此IP加入黑名单一段时间 通过Nginx等Web服务器 ...

前言 现代程序开发中身份验证、授权是一件非常非常复杂的事情（各种登陆方式、各种授权需求、各种跳转跳、各种加解密，搞得得头皮发麻），因为事情本身复杂，所以没把这件事理清楚之前，无论你用什么语言、什么框架、什么方式都很难做到既简单又具有可扩展性。我的想法是既然我自己做不到，那就搞懂身份验证和授权 ...

本文基于python3.4的selenium库打开浏览器，并将浏览器中的登陆cookie保存到本地，那么下次登陆就可以直接利用cookie了： 由于selenium库支持低版本的浏览器，例如本文的谷歌浏览器需要下载插件，并将插件放到目录C:\Python34即可 ...

拿DVWA举例子。环境百度自行搭建。 开启burpsuite 选择temporary project(临时工程) 选择默认配置进入后，访问127.0.0.1:8080 安装证书 将这个intercept 关掉 显示 intercept is off 即可 进入网站后 ...

之前一直使用Burpsuite对某个接口进行身份证号码爆破，500个号码几分钟就可以快速爆破完。 但近期再次尝试爆破时发现该站点做了防护，导致爆破过程会出现错误页面，于是决定调整思路，放慢爆破速度，采用延时爆破。 修改Burpsuite中Intruder模块参数： 再次进行爆破 ...

好久没用了，有点忘了，记一下 https://blog.csdn.net/Testfan_zhou/article/details/92977543 ...

本次使用BP的inturder模块，测试该模块下四种爆破方式的异同 四种方式爆破DVWA(Brute Force)测试 工具：burpsuite，使用intruder模块 环境：DVWA，security设置为low 1、sniper 两个参数 ...

在登陆界面，让用户选择是手动登陆，还是微信授权登陆。 如果是微信授权登陆（思路）：微信授权登陆，判断数据库有没用这个openid ①如果这个openid不存在 保存这个openid到数据库； 然后直接跳转 ...