做等保遇到的几个问题很急！！！

x123123 · 发表于 2020-7-10 11:05:23

我这做等保的时候发现了两个问题，麻烦问一下有什么好的解决方法么。1 口令限制6-12位，包含大小写字母、数字中的两种及以上，但仅在前端做此验证，抓包后可以将口令改成123456等弱口令。
2 使用http传输，密码使用MD5加密，有一定几率被解出明文。

jishuang · 发表于 2020-7-10 17:23:43

1.这个自己再后端做校验就可以啊
2.平台提供的有密码加强特性设置后不是单纯的md5
/BIZ/system/config/sys.config.m 中<config name="passwordSalt" value="http://www.justep.com"/>配置
如果之前关闭了这个配置，再放开密码都需要重新生成
value的只可以自己修改

x123123 · 发表于 2020-7-17 12:41:18

jishuang 发表于 2020-7-10 17:23
1.这个自己再后端做校验就可以啊
2.平台提供的有密码加强特性设置后不是单纯的md5
/BIZ/system/config/sys. ...

谢谢，还有一个问题有登录失败处理功能，连续3次登录错误后，10秒内禁止登录操作；由于10秒禁止时间太短，未能有效降低密码爆破风险。建议延长禁止时间至10分钟。这个是在哪里改啊

jishuang · 发表于 2020-7-17 13:57:31

5.3版本平台默认没有这个控制，这个应该是自己控制的需要看自己的代码

x123123 · 发表于 2020-7-21 11:17:27

jishuang 发表于 2020-7-17 13:57
5.3版本平台默认没有这个控制，这个应该是自己控制的需要看自己的代码

5.3.8的版本没有这个功能了是吧，

jishuang · 发表于 2020-7-21 13:54:47

是的，平台默认没有提供

x123123 · 发表于 2020-8-20 15:26:51

jishuang 发表于 2020-7-10 17:23
1.这个自己再后端做校验就可以啊
2.平台提供的有密码加强特性设置后不是单纯的md5
/BIZ/system/config/sys. ...

biz.Request.login这个接口在哪个java文件中，麻烦了

jishuang · 发表于 2020-8-20 17:15:21

具体需求要做什么？

x123123 · 发表于 2020-8-21 09:26:13

jishuang 发表于 2020-8-20 17:15
具体需求要做什么？

在修改密码保存到数据库前做一个正则验证，防止抓包后可以将口令改成123456等弱口令。

jishuang · 发表于 2020-8-21 13:35:19

那可以看修改密码调用的action啊
你发的是调用登录的
system中changePasswordAction这个action

		自动登录	找回密码
密码			注册

[处理中3] 做等保遇到的几个问题很急！！！