网站安全对某些网站来说，是整个运营期间最为重要的事，尤其涉及大量用户信息、交易与支付的网站。在许多网站安全的部署与检测时，会发现网站业务存在大量的逻辑漏洞，尤其能被暴力破解的漏洞。

网站安全逻辑漏洞的检测与修复

攻击者通过利用用户的弱口令，进行用户密码强制破解，例如123456、000000、admin等原始基础的密码，来进行猜测并尝试登陆，这是比较常见的网站业务逻辑漏洞。

现存有许多工具能自行模拟破解，密码库中存在大量常用密码，通过自动化大大缩短破解的时间。如果网站在最初设计中没有相应措施的话，后期会给服务器后端带来很大压力。

许多网站没有设置任何针对这方面的防护，比如限制用户登录次数、短信验证码等，使得暴力破解变得更加简单。当然，即使有验证，也有许多攻击软件可以绕过从而破解，但有了验证之后，在一定程度上可以增加破解的难度，提高安全程度。

如果出现了这类逻辑漏洞，应该怎么进行修复呢？

首先要设计好IP锁定，当攻击者尝试登陆用户账号的时候，可以设定一分钟登陆了多少次，如果尝试登陆了多次，可以进行IP锁定。如果这个账户进行密码找回等特殊操作，并且进行了多次，就可以封掉IP。

再者，在验证码识别中，增加语言、特殊字符或拼图等需要人手动的验证码，如果仅适用短信的话，设定一分钟只能收取一次，给验证码生效时间设定期限，可以是1分钟，也可以是3分钟，无论是否使用，这个码在时间过后都会过期。

更多内容推荐：>>>保护网站安全的5个方法