網絡安全防護很久以前就講過一些專業知識，下面再講一遍網絡安全防護中的登陸密碼傳輸，比較敏感的實際操作二次驗證，手機客戶端強認證，驗證的錯誤信息，避免暴力破解密碼，系統日志和監控等。

**，登陸密碼傳送。

登錄頁和所有后臺必須驗證，頁面必須使用SSL、TSL或其他安全傳輸技術進行瀏覽，原始登錄頁必須應用SSL、TSL進行瀏覽，否則網絡攻擊會改變登錄頁的action特性，導致用戶登錄憑據泄露，假如登陸后沒有應用SSL、TSL進行二次數據加密，網絡攻擊會盜取對未數據加密的應用程序ID，進而嚴重危害用戶當前的主題活動應用程序，因此，也應盡量對登陸密碼進行二次數據加密，然后進行傳送。

第二，對比較敏感的實際操作進行第二驗證。

從而減輕CSRF、應用程序被劫持等系統漏洞的危害，在更新賬戶比較敏感的信息內容(如客戶登錄密碼、電子郵件、買賣詳細地址等)之前必須進行賬戶認證，如果沒有這類對策，網絡攻擊不必了解客戶的憑據，就可以根據CSRF、XSS攻擊進行比較敏感的實際操作，如果沒有這類對策，網絡攻擊就不會了解客戶的電腦資料。

手機客戶端的強力認證。

應用第二要素運行程序以檢查客戶是否具有較敏感的實際操作能力，典型實例有SSL、TSL手機客戶端身份認證，別稱SSL、TSL雙重校檢，校檢由手機客戶端和服務器端組成，在SSL、TSL揮手整個過程中分別推送各自的資格證書，正如應用服務器端的資格證書要授予組織(CA)校檢網絡服務器真正有效一樣，網絡服務器能夠應用第三方CS或自己的CA校檢客戶端證書真正有效，因此，服務器端一定要為客戶出示為它轉換的資格證書，并將資格證書分派給相應的值，以方便用戶以此值確定與資格證書匹配的客戶。

第四，驗證錯誤。

如果未正確保存驗證失敗后的錯誤，則可將其用于枚舉類型客戶ID使用登陸密碼，程序運行應采用通用方式進行相對操作，無論登錄名或密碼錯誤，都不能對當前客戶的情況進行表名。錯誤的相對實例：登錄失敗，登錄密碼無效；登錄失敗，登錄客戶無效；登錄失敗，登錄名不正確；登錄失敗，密碼錯誤；適當的相對實例：登錄失敗，登錄名或登錄密碼無效。有些程序運行時返回的錯誤雖然是相同的，但返回的狀態碼卻不同，這種情況也會暴露出賬戶的基本信息。

避免用暴力破解密碼。

對Web程序運行實施暴力破解密碼是一件很容易的事，假如程序運行不容易因為多次驗證失敗而導致帳號被禁止使用，那么網絡攻擊將有機會不斷猜想登錄密碼，進行不斷暴力破解密碼，直到帳戶被攻占。多種處理方法有多重因素驗證、SMS驗證碼、個人行為檢查(阿里云服務器、極驗等服務項目都提供)。

六、系統日志和監控。

可以方便地檢查驗證信息內容的記錄和監控是否能方便地檢查進攻性和常見故障。

記錄所有登錄失敗的實際操作過程；

記錄所有密碼錯誤的實際操作過程；

3、記錄所有帳號鎖定的登陸；以上這些都是防止網站被攻擊的方法，如果確實無法修復存在漏洞的話可以咨詢專業網站安全公司進行處理，建議可以找我們盛世傳媒專業的安全公司來處理。