文章总结： 文档介绍了钓鱼演练系统升级，新增Session访问控制与封禁机制。核心包括限制请求次数与重复提交触发封禁，支持手动或自动解封。方案详述了演练全流程，旨在验证员工意识与技术防护效果，并强调了演练标识、日志隔离及数据备份等关键事项，以确保演练安全有效。 综合评分： 83 文章分类： 安全意识,实战经验,安全运营

钓鱼演练新增功能–简单的访问控制和封禁/解封功能

我不懂安全

2026年1月7日 17:07 江苏

以下文章来源于我真的不会啊 ，作者我真的不会啊

我真的不会啊 .

技术交流和分享

最近给较多的客户做了演练，中间七七八八也出了一些问题，所以经过几次演练后，对原始脚本进行了更改，且手上的场景也有了七八个，但是反向防护的暂时就做了调研演练这个（起因是其中一次演练时被客户反向扫描服务器发现了粗心留下的压缩包，正好里面有源码包，被一顿怼>o<）;

    该版本做了访问控制的同时，也做了防垃圾数据和重复提交问题，其实通过ip或者sessionid都行，只是ip一般客户都是用公司wifi，出口地址一致就比较麻烦。所以ip的没有留，sessionid的留下了，以下就是本次演练的一个简单报告：有需要的私信我就行，麻烦给个关注…….

企业钓鱼演练方案

一、演练核心定位

本次钓鱼演练聚焦“模拟钓鱼信息提交场景”，核心目标是验证员工对钓鱼诱导的识别能力，同时检验近期部署的“会话请求限制、重复提交封禁、手动/自动解封机制”等技术防护策略的有效性，形成“人员意识检验+技术防护验证”的双重闭环。

二、核心技术依托

本次演练的技术支撑源于此前优化的会话限制系统，关键规则如下，确保演练场景贴合真实防护逻辑：

1.会话请求限制：单个会话（基于Session）最大请求次数限制为5次，超过则触发1小时封禁；

2.重复提交限制：同一字段（如姓名、手机号、身份证号、银行卡号）重复提交超过3次，触发1小时封禁；

3.封禁状态管理：封禁时长默认3600秒（1小时），封禁期间所有请求均被拦截并提示剩余解封时间；

4.手动解封机制：管理员手动删除对应会话的log日志文件后，系统视为新会话，自动重置请求计数与封禁状态，无需额外操作即可解封。

5.自动解封机制：封禁时长根据log文件json数据中的封禁时间判断，封禁时间结束则自动重置，请求计数与封禁状态，无需额外操作即可解封。

6.接口请求限制：配置只对外提供访问接口，其余接口或文件均被限制访问，防止出现信息泄漏。

三、详细演练流程

（一）演练准备阶段（演练前3个工作日）

1、成立演练小组

￮技术组：负责部署演练环境，确保会话限制系统、日志记录系统正常运行，提前测试手动删除日志解封功能的有效性；

￮协调组：对接各部门，明确演练范围（建议全员参与），提前参与人员邮箱信息，沟通邮件内容和形式。

2、演练环境搭建

￮基于现有会话限制系统，搭建独立演练环境，复用“请求计数、重复校验、封禁拦截、日志记录”核心逻辑；

￮配置演练专属log日志目录（如./session_logs/），确保日志文件可精准对应单个会话，方便后续手动解封测试；

￮制作钓鱼诱导页面：模拟场景为“2025社保补贴申请”，页面包含必填的重复校验字段（姓名、手机号、身份证号、银行卡号），提交按钮指向演练环境的验证接口，接口关联会话会根据情况限制访问。

￮访问控制：通过.htaccess文件配置只对外提供访问接口，其余接口或文件均被限制访问，防止出现信息泄漏。

3、预演验证：技术组模拟普通员工操作，测试3种核心场景：①正常提交（未重复、未超请求次数）；②重复提交3次后触发封禁；③同一会话超5次请求后触发封禁；④手动删除日志或者封禁时间结束后解封，确保所有技术规则正常生效。

4、邮件内容：

发信地址使用接近客户邮箱的后缀名，链接当前使用的是ip地址，但是也可通过解析到购买域名并备案即可使用。（更接近真实性）（境外服务器可不用备案）

（二）演练执行阶段（演练当日，建议时长3-7天）

1、精准推送钓鱼诱导信息

￮通过阿里云邮件推送+python脚本批量发送，向参与员工推送钓鱼信息；

￮本次推送除了邮件中ip地址比较突兀，整体基本做了隐匿处理，接近真实。

2、实时监控与数据记录

￮实时监控演练环境的会话日志，记录关键数据：各会话请求次数、重复提交字段及次数、触发封禁的会话数量、封禁拦截提示的展示效果；

￮记录是否有员工识别出钓鱼信息并上报、员工对封禁提示的理解程度、误操作触发封禁后的咨询情况。（本次刚开始存在识别后插入大量脏数据的情况，优化封禁后，情况几乎降为0）

（三）演练收尾阶段（演练结束后1个工作日内）

1、数据汇总分析：

￮人员意识层面：统计钓鱼信息表单提交率、识别钓鱼信息上报率，如有详细邮箱部分划分可分析不同部门、岗位的意识薄弱点；

￮技术防护层面：统计触发封禁的会话占比、重复提交触发封禁的比例、手动解封成功率，验证会话限制系统的防护有效性；

￮问题收集：整理演练中出现的技术故障（如日志记录异常、解封失效）、员工反馈的体验问题（如封禁提示不清晰）。

2、全员复盘与培训：

￮发布演练复盘报告：通报演练结果，明确人员意识和技术防护的优势与不足；

￮针对性培训：对意识薄弱的部门开展专项培训，讲解钓鱼信息识别要点；

￮技术优化：针对演练中发现的系统问题（如日志路径混乱、解封延迟），优化会话限制系统及日志管理机制。

3、环境清理与归档：清理演练环境的日志文件和测试数据，将演练方案、复盘报告、技术验证记录归档留存，为后续演练提供参考。

四、关键注意事项

1、演练全程需明确“演练标识”：钓鱼页面底部需隐藏演练说明（仅员工点击提交后展示），避免引发员工恐慌；

2、日志管理规范：演练用日志目录需单独区分，避免与生产环境日志混淆，确保手动删除解封操作不影响正常业务；

3、正向激励引导：对成功识别钓鱼信息并上报的员工、高效配合手动解封测试的员工给予表彰，强化员工参与安全防护的积极性；

4、技术兜底保障：演练前需备份生产环境数据，演练环境与生产环境严格隔离，防止演练操作影响正常业务运行。

五、演练输出物

1、《钓鱼演练方案》（含场景设计、技术规则说明）；

2、《演练数据统计报表》（人员意识+技术防护双维度数据）；

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：我不懂安全 《钓鱼演练新增功能–简单的访问控制和封禁/解封功能》