首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

基于openresty实现透明部署动态口令功能

今天来讲讲基于openresty来实现透明部署动态口令功能,动态口令的基础概念这里就不讲了,网上的介绍很多,下面直入正题。...企业内部系统部署方案 通过在原有的业务系统上,部署WAF来反向代理业务请求,从而实现透明部署动态口令功能。 架构图如下: ?...WAF在接收到用户提交的特定请求时,会获取用户密码后六位,即动态口令的值,在对动态口令进行校验后,如果正确则重写该请求,将请求中的后六位删除再转发到业务系统,如果失败则丢弃该请求并提示。...通过以上方式,无需对原系统的代码进行任何修改,即可实现部署动态口令功能的效果。 实战: 新建文件 waf_otp_rule.json 内容如下: ? ?...如果动态口令识别失败,则将请求重定向到rule_otp_redirect指定的地址,即webgoat的登录页面。

1.7K70
  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    【玩转Lighthouse】远程桌面RDP+动态口令

    安装动态口令实现安全访问 实现远程控制的安全访问大概有两种方式: 1. 限制访问源,牺牲便捷;例如:需要在访问者和被访问者设备上都需要配置穿透软件 2....二次认证:本地密码+动态口令(推荐) Window系统可以利用multiOTP Credential Provider动态口令 访问multiOTP Credential Provider,下载最新版本的软件包.../multiotp.exe -qrcode 4.打开二维码图片,并使用手机上的动态口令APP扫描添加动态口令令牌。...动态口令APP可以使用Aegis Authenticator ps:添加动态口令令牌以后就可以删除二维码图片,也可以不删除 六、远程桌面的设置 选择二级域名:端口号,连接后需要内网机器的登录账号和密码,...登录成功后,还需要输入手机的动态口令方可进行远程操作操作 [pht4e64ji0.png?

    3K20

    动态令牌之 OTP,HOTP,TOTP 的基本原理 Python

    是时间同步,基于客户端的动态口令动态口令验证服务器的时间比对,一般每60秒产生一个新口令,要求客户端和服务器能够十分精确的保持正确的时钟,客户端和服务端基于时间计算的动态口令才能一致。 ...= 0;  X = 30;  T = 30 ~ 59, C = 1; 表示30 ~ 59 这30秒内的动态密码一致。 ...不同厂家使用的时间步数不同;  阿里巴巴的身份使用的时间步数是60秒;Google的 身份验证器的时间步数是30秒;腾讯的Token时间步数是60秒;  TOTP的python代码片段:  class...(如阿里云ECS登录,腾讯机房服务器登录等);公司VPN登录双因素验证;网络接入radius动态密码;银行转账动态密码;网银、网络游戏的实体动态口令牌;等动态密码验证的应用场景。 ...市面上基于HOTP的产品  宁盾令牌阿里巴巴的 身份Google的 身份验证器(google-authenticator)  Google基于TOTP的开源实现  https://github.com

    2.4K20

    RHEL CentOS 8 SSH双因素认证

    双因素认证   双因素认证就是通过 用户已知信息(用户名和密码)+用户预先未知信息 二要素组合到一起实现双因素身份认证。...每个动态密码卡都有一个唯一的密钥,该密钥同时存放在服务器端,每次认证时动态密码卡与服务器分别根据同样的密钥,同样的随机参数(时间、事件)和同样的算法计算了认证的动态密码,从而确保密码的一致性,从而实现了用户的身份认证...TOTP Time-Based One-Time Password Algorithm,基于时间同步的一次性口令动态口令。 ? TOTP认证步骤 ① 用户开启双因素认证后,服务器生成一个密钥。...身份验证器 (本次使用Google Authenticator) Google Authenticator Microsoft Authenticator TOTP Authenticator 阿里云身份...在你的动态口令无法使用的情况下使用的,记住,用一个失效一个。后期可以登陆系统重新生成。

    1.7K20

    支付超级 App 的弹性动态架构实践

    | 导语 本文基于重岳在 2019 年 DevOps 国际峰会北京站的分享内容进行总结,希望通过本篇文章介绍近些年来支付面向超大业务体量的挑战,在移动端构建弹性动态架构部分做了怎样的实战与思考,期冀能给读者们带来些许帮助...3 航母时代 随着移动支付的不断普及,面对海量的用户和业务需求,高可用、弹性动态成为支付客户端更为艰巨的挑战。...支付作为集支付、金融、生活为一体的服务平台,需要能够快速稳定的发布服务和引入第三方服务,同时对于用户的反馈和诉求必须能够积极迅速的响应。 | 动态研发模式 ?...每个用户日常使用的功能仅仅是支付庞大平台中的一小部分,H5应用可以做到动态下发,因此可以消除冗余的存储,降低包大小。...近些年来 React Native,Weex 等动态渲染引擎在社区非常活跃,但经过小范围的应用以及考虑到 Web 技术的不断发展以及其在业界公认的地位,我们最终还是选择 Web 技术作为动态研发模式的基础

    87641

    动态令牌_创建安全令牌

    时间同步,基于客户端的动态口令动态口令验证服务器的时间比对,一般每 60 秒产生一个新口令,要求客户端和服务器能够十分精确的保持正确的时钟,客户端和服务端基于时间计算的动态口令才能一致。  ...如果攻击者破坏了大型身份验证数据库,这可能是一个特殊问题。...不同厂家使用的时间步数不同: 阿里巴巴的身份使用的时间步数是 60 秒; 宁盾令牌使用的时间步数是 60 秒; Google 的身份验证器的时间步数是 30 秒; 腾讯的 Token 时间步数是...(如阿里云ECS登录,腾讯机房服务器登录等); 公司VPN登录双因素验证; 网络接入radius动态密码; 银行转账动态密码; 网银、网络游戏的实体动态口令牌; 等动态密码验证的应用场景。...4.6、市面上基于 HOTP 的产品 宁盾令牌 阿里巴巴的身份 Google 的身份验证器(google-authenticator) 4.7、Google 基于 TOTP 的开源实现 https:

    1.5K40

    使用aerogear生成totp

    Time-based One-time Password (TOTP) 在RFC 6238规范中 这里主要讲TOTP 客户端 其常见的手机客户端有Google Authenticator APP以及阿里云的身份...由于google的软件在国内被墙,因此可以使用阿里云的身份 服务端 服务端的话,google官方有c的代码,java的话很多第三方都有实现,这里选择jboss提供的aerogear-otp-java,...secret=%s,Google Authenticator APP或阿里云的身份均支持这种格式的识别。...不过由于Google Authenticator APP或阿里云的身份均为30秒更换一次,因此这个参数可以按默认的来。...doc 身份 google-authenticator Java 接入 Google Authenticator 使用OTP动态口令(每分钟变一次)进行登录认证 GoogleAuth aerogear-otp-java

    1.8K20

    火绒产品公告——企业版推出“终端动态认证”功能 阻止RDP弱口令渗透

    功能描述: 火绒针对企业用户终端的防护新增“动态认证”功能,开启后,通过登录终端时(包括远程和本地登录)进行二次验证的方式,阻止终端遭遇密码泄露、弱口令暴破、撞库等黑客破解行为带来的危害,达到保护终端安全目的...获取接受二次验证口令的工具(“火绒口令”微信小程序)。 注:小程序获取和详细操作见下方。 2、功能使用 第一步,开启功能。 登录中心,点击【防护策略】-【终端动态认证】。...第二步,获取终端动态口令。 首先,管理员点击“动态口令”按钮,获取口令二维码。然后将二维码发送至终端用户,用户使用“火绒口令”小程序扫描该二维码即可。 ?...(2)管理员可重置终端的动态口令二维码。重置后对应的动态口令失效。 第三步,登录。 当开启火绒“终端动态认证”功能后,无论是本地还是远程登录用户计算机时,都将弹出火绒的动态口令安全认证窗口。...(2)点击下方“+”按钮扫描动态口令二维码,即可获取对应账号的登录口令。 ? (3)点击笔状按钮可编辑、删除口令。 ? (4)动态口令每隔30秒刷新一次。 (5)请确保输入的动态口令与中心账号对应。

    59230

    第83篇:HTTP身份认证401不同情况下弱口令枚举方法及java代码实现(上篇)

    很多朋友会误以为是与tomcat的http basic认证一样,就是把用户名及密码进行了简单的base64加密,然后使用相应的工具进行弱口令猜解,实际上这里面有各种各样的身份验证算法,非常复杂。...接下来ABC_123就搭建IIS测试环境,给大家分享一下相关经验,同时分享一下不同情况下弱口令枚举的关键Java代码实现,网上能用的java代码极少,甚至是搜索不到,ABC_123也是踩了一大堆的坑。...其中匿名身份验证就是允许任意用户访问,不牵扯到输入弱口令问题,这里就不过多叙述了。...根据弹出的提示框输入一个用户名密码,之后使用burpsuite抓包,发现浏览器发送的http请求是如下格式,看起来非常复杂,已经不是使用简单的java代码就能够实现弱口令猜解的。...对于HTTP身份验证的弱口令审计,需要仔细分析服务器返回消息头中的WWW-Authenticate字段。 2.

    32610

    敏捷开发与动态更新在支付 App 内的实践

    本文转载自公众号 mPaaS 作者介绍:古塘,目前主要负责支付框架和各个组件通过移动开发平台 mPaaS 对外输出工作,今天给大家分享的主题是敏捷开发与动态更新在支付 App 内的深度实践。...应急和快速修复方面,这是我们已经提到过的,框架需要快速响应线上问题,并提供相应的修复方案,能做到动态更新,最大程度的保证线上的稳定性。...OSGI OSGI 是 Java 做动态化模块化的一系列思想规范,支付的框架设计也是借鉴了这个思想。 ?...这和前面提到的框架「积木的概念」如出一辙,每一个离线包都是一个小积木,这个小积木可以很方便的做到热插拔,实现动态更新。...监控:监控主要聚焦稳定性的问题,包括“闪退、卡顿、卡死、业务异常”等情况,当问题产生后我们会基于动态修复的手段进行快速修复。相关的埋点监控模块近期也在支付开放平台开放出来,欢迎体验。

    91420

    火绒产品公告——企业版新增动态口令功能 二次验证加强中心安全

    火绒企业版针对火绒控制中心(以下简称中心)的防护新增“动态口令”功能。...勾选【开启动态口令】,点击【确定】。 ? 第二步,获取动态口令。 先获取口令二维码,在【账号管理】页面,点击【动态口令】按钮。然后使用“火绒口令”小程序扫描该二维码即可。 ?...(2)超级管理员可重置账号的动态口令二维码。重置后对应的动态口令失效。 ? 第三步,登录。...(2)点击下方“+”按钮扫描动态口令二维码,即可获取对应账号的登录口令。 ? (3)点击下方笔状按钮可编辑、删除口令。 ? (4)动态口令每隔30秒刷新一次。...(5)请确保输入的动态口令与中心账号对应。 ---- 视频版功能介绍:

    86130

    电子身份证真的来了!竟可支付领取!这些城市已经确认试点!

    “居民身份证网上功能凭证”首次亮相支付,并正式在衢州、杭州、福州三个城市的多个场景同时试点。 去政务大厅办事,在酒店办理入住,或是在车站买票时忘带身份证怎么办?回家取,还是去办临时身份证?...会上,由公安部第一研究所可信身份认证平台(CTID)认证的“网证”正式亮相支付。据记者了解,此次“网证”将在浙江衢州、杭州和福建福州三个城市的多个场景同时试点。 ?...△全国首批身份证网上功能凭证(衢州)启用仪式 ? 支付领取身份证“网证”扫一扫就能用 在衢州的办事大厅,市民蒋女士成了第一位在支付里尝鲜“网证”的人。...记者体验发现,只需打开支付 “卡包→证件”,根据提示完成“刷脸”等相关身份认证,证明是本人,就可以拥有自己的网证了,使用时,可以打开网证二维码,通过扫一扫证明自己的身份。 手机丢了怎么办?...支付方面表示,而光是支付人脸识别技术的准确率就达到了99.99%,被冒用的可能性极低。

    97900

    手机没网了,却还能支付,这是什么原理?

    没办法,花了一笔重资买了一个网易将军令,每次登录的时候,除了输入用户名与密码以外,还需要输入动态口令。从此账号就很少被盗了。...这种令牌器,动态产生一次性口令(OTP, One-time Password),可以防止密码被盗用引发的安全风险。...动态口令技术原理 首先如果我们需要使用 Google Authenticator,我们需要在网站上开启二次验证功能,以 Google 账号为例,在设置两步验证的地方可以找到如下设置: 当我们点击设置,将会弹出一个二维码...付款码离线方案 上面我们了解了动态口令的实现方案,付款码生成原理其实也大致如此。 不过付款码离线方案采用动态密钥的方式(全局唯一),定时请求服务端更换密钥,以此保证更高的安全性。...另外在一次性动态口令方案,需要双方基于同样的秘钥,所以服务端需要明确知道这背后正确用户。以上面的登录场景为例,登录过程输入用户名,服务端就可以根据这个在数据库中查询相应的密钥。

    1.3K30

    数字人民币落地最后一公里,大数据和 AI 将如何改变金融

    单从这一点来说,它与支付微信这类第三方支付手段都不构成竞争关系,因为这两者就不在同一个维度上。以后的商家可以说不接受微信、支付,但是说拒绝数字人民币则是违法的。...金融生物识别:多模态融合已成应用趋势 数字钱包作为数字人民币的载体,在交易时也要验证身份以进行授权。...目前应用较为广泛的认证方式就是基于生物特征数据的多因子身份认证技术,而生物识别在金融领域的落地,也逐渐由单模态识别和技术应用,过渡到多模态融合。...微信和支付目前都上线了基于声纹动态口令的登录方式,作为指纹识别和面部光学识别的补充。此外,在信贷业务中引入声纹识别技术作为反欺诈手段,还可有效降低冒用他人身份进行骗贷以及多头贷款等事件的发生率。...对于金融机构的研究者来说,他们每天需要分析大量投研相关文本,以此来把握行业动态。文本数据往往以非结构化的形式存储,且数据规模较大,传统处理方法很难满足需求。

    1K20

    浅析如何加强个人信息安全防护

    2) 财物安全 银行账号、支付、微信支付等信息泄露,导致财产损失。 3)人身安全 犯罪分子利用个人信息进行犯罪活动,危害人身安全。...不要在手机银行中保存自己的银行账号、身份证件号等信息,防止手机被盗造成相关信息泄露。 使用数字证书、令、支付盾、手机动态口令等安全必备产品。...更换手机号后,及时更新手机银行业务;对不用的银行卡要及时销户,并撤销已开通的手机银行业务;从正规渠道购买手机号,用自己的身份证件登记。...(7) 换号安全 解绑账号:如果要更换手机号,换之前要及时解绑银行账号、支付、邮箱等,另外, 别忘了解绑微信,手机号码如果不解除与微信之间的捆绑,个人隐私和信息可能被泄露。...(10) 手机丢了怎么办 手机绑定了太多服务和账号,网银、微信、微博、支付…… 万一丢了手机,一定要赶快做这六件事,借个手机也要做: • 打电话给运营商,挂失手机卡 • 打电话给银行,冻结网银 • 拨打

    1.7K20

    自然人信息收集流程思路

    ID / IP / MAC 路由信息 腾讯系列:QQ / 空间 / 朋友圈 / 微信 / 微博 (关联其好友进行社工,个人账号/小号常常有关联) 支付:支付转账 新浪微博:关联好友(粉丝以及关注的人...) / 自定义地址(关联信息) 邮箱信息:邮箱地址 手机信息:型号版本 百度贴吧 社区论坛 辅助工具 密码:密码生成器实际将关键字加上TOP100弱口令 (https://www.bugku.com/mima.../) 身份证:阿里云身份证核验的API , 身份证地区核验(https://shenfen.supfree.net/search.asp?...id=) 手机号:微信以及支付转账 伪造网络身份(重要需要养号) 钓鱼程序: 微信小程序既可以获取WIFI的MAC信息,又能获取到微信绑定的手机号; 其他网页获取IP信息以及GPS位置 ---- 0x01...《公民身份证号码》国家标准编制,身份证号码由18位数字组成:前6位为行政区划分代码,第7位至14位为出生日期码,第15位至17位为顺序码,第18位为校验码。

    54440

    自然人信息收集流程思路

    ID / IP / MAC 路由信息 腾讯系列:QQ / 空间 / 朋友圈 / 微信 / 微博 (关联其好友进行社工,个人账号/小号常常有关联) 支付:支付转账 新浪微博:关联好友(粉丝以及关注的人...) / 自定义地址(关联信息) 邮箱信息:邮箱地址 手机信息:型号版本 百度贴吧 社区论坛 辅助工具 密码:密码生成器实际将关键字加上TOP100弱口令 (https://www.bugku.com/mima.../) 身份证:阿里云身份证核验的API , 身份证地区核验(https://shenfen.supfree.net/search.asp?...id=) 手机号:微信以及支付转账 伪造网络身份(重要需要养号) 钓鱼程序: 微信小程序既可以获取WIFI的MAC信息,又能获取到微信绑定的手机号; 其他网页获取IP信息以及GPS位置 0x01 技巧工具...WeiyiGeek. 0x02 补充知识 1.居民身份证号码 描述:居民身份证号码按照《公民身份证号码》国家标准编制,身份证号码由18位数字组成:前6位为行政区划分代码,第7位至14位为出生日期码,第15

    1.2K20
    领券