Web登錄安全如何保障,通付盾機器人防火墻來護航

1、HTML用戶登錄信息安全示例

常見的Web登錄中,是下面這樣的表單:

Web登錄安全如何保障,通付盾機器人防火墻來護航

Web登錄安全如何保障,通付盾機器人防火墻來護航

(1)作為HTTP請求body中的參數(shù)傳遞給后臺,進行登錄校驗。例如用戶名為user1,密碼是123456,在提交登錄時給后臺發(fā)送的HTTP請求如下(FireFox或Chrome開發(fā)者工具捕獲,需要開啟Preserve log):

Web登錄安全如何保障,通付盾機器人防火墻來護航

發(fā)現(xiàn)即使password字段在輸入時是黑點不可見,但仍然以明文的方式進行截獲請求。

(2)在網(wǎng)絡(luò)傳輸過程中,如果被嗅探截取到也會直接危及用戶信息安全,以使用抓包工具Wireshark為例,可以看到HTTP協(xié)議傳輸直接暴露用戶的賬戶和密碼:

Web登錄安全如何保障,通付盾機器人防火墻來護航

2、前端使用加密算法能否保證密碼安全?

Web前端通常可以使用某種算法,對相關(guān)字段進行加密處理,再將密碼作為HTTP請求的內(nèi)容進行提交。以下主要介紹兩種加密方式是否真的安全:

(1)非對稱加密HTTPS一定安全嗎?

非對稱加密存在著公鑰私鑰,公鑰可以隨意獲取,私鑰是用來對公鑰解密的本地存儲,通過公私鑰機制可以保證傳輸加密并且目前普遍使用的HTTPS就是基于這個原理。

但是HTTPS就一定安全嗎?其實還存在兩種可能的風(fēng)險:

HTTPS可以保障傳輸過程中信息不被別人截獲,但實際上HTTPS是應(yīng)用層協(xié)議,底層采用的是SSL加密技術(shù)保障信息安全,但是在客戶端和服務(wù)端,密文同樣是可以被截獲的;

HTTPS報文在傳輸過程中,如果客戶端被惡意引導(dǎo)安裝“中間人”的Web信任證書,那么HTTPS中的“中間人攻擊”一樣會將明文密碼泄露出去。

(2)MD5存在的安全隱患問題

經(jīng)過各種安全事件后,很多系統(tǒng)在存放密碼的時候不會直接存放明文密碼,大都改成存放 md5 加密(hash)后的密碼,可是這樣真的安全嗎?

用一個腳本測試下MD5的速度,測試結(jié)果:

Web登錄安全如何保障,通付盾機器人防火墻來護航

根據(jù)以上結(jié)果會發(fā)現(xiàn)一個問題:MD5的測試速度太快,導(dǎo)致很容易進行暴力破解。

簡單計算一下:

Web登錄安全如何保障,通付盾機器人防火墻來護航

使用6位純數(shù)字密碼,破解只要0.234秒!

使用6位數(shù)字+小寫字母密碼,破解只要8.49分鐘!

使用6位數(shù)字+大小寫混合字母密碼,破解只要3.69個小時!

因此可以看出,對于MD5的破解其實就是屬于“碰撞”,很多密碼都是采用比較有規(guī)律的字母或數(shù)字,更能降低暴力破解的難度。

文章開頭的例子:用戶輸入的用戶名是:user1,密碼是:123456,無論在任何協(xié)議之下,可以看到實際發(fā)送的HTTP/HTTPS報文在MD5處理后是這樣的:

Web登錄安全如何保障,通付盾機器人防火墻來護航

如果直接截獲你的密碼密文,然后發(fā)送給服務(wù)器不是一樣可以登錄嗎?因為數(shù)據(jù)庫里不也是MD5(password)一樣的密文嗎?HTTP請求被偽造,一樣可以登錄成功。

3、通付盾機器人防火墻有效防護Web登錄安全

針對以上Web登錄安全問題,通付盾推出了機器人防火墻(新一代動態(tài)Web應(yīng)用防火墻),搭載了自研的動態(tài)防護技術(shù),支持對Web登錄頁面進行網(wǎng)頁源碼動態(tài)加密、動態(tài)令牌等,實現(xiàn)對用戶信息安全的有效保障。

(1)網(wǎng)頁源碼動態(tài)加密

通付盾機器人防火墻采用網(wǎng)頁源碼動態(tài)加密方式對所需Web站點源碼進行加密保護,從而實現(xiàn)站點安全加固。通過特殊算法改變原有的信息數(shù)據(jù),使得未授權(quán)用戶即使獲得了已加密的信息,但因不知解密方法,仍然無法了解信息內(nèi)容,達到隱藏可能存在的攻擊路徑效果,大幅提升攻擊者對Web站點進行攻擊的難度。同時驗證所有用戶輸出到客戶端的內(nèi)容,防止帶有惡意攻擊代碼的文件提交至服務(wù)器,建立可信關(guān)系。

網(wǎng)頁源碼動態(tài)加密保護前效果如下:

Web登錄安全如何保障,通付盾機器人防火墻來護航

網(wǎng)頁源碼動態(tài)加密保護后效果如下:

Web登錄安全如何保障,通付盾機器人防火墻來護航

(2)動態(tài)令牌

通過對一次性動態(tài)令牌合法性的校驗來確保執(zhí)行正確的業(yè)務(wù)邏輯,使我們的網(wǎng)站環(huán)境更加安全。動態(tài)令牌有唯一性與時效性兩個屬性。

唯一性體現(xiàn)在請求檢查時會解析出令牌中的客戶端信息和當(dāng)前訪問的客戶端信息進行匹配,如匹配不上則說明該令牌不屬于當(dāng)前客戶端,很可能令牌被盜用。

時效性是指每一個令牌都設(shè)定有效時間,令牌中記錄了令牌設(shè)定的時間,當(dāng)前請求時間減去令牌設(shè)定時間即為令牌的生命時間,然后以此判斷令牌是否超過有效時間,超過有效時間的令牌即使客戶端信息正確也不再有效。

令牌由通付盾機器人防火墻本身的機制產(chǎn)生,通過把唯一標(biāo)識客戶端的信息和請求時間組合在一起,再由特定算法加密得出;產(chǎn)生的令牌在響應(yīng)時返回給客戶端,客戶端再次請求時就會帶著自己的令牌訪問服務(wù)器,每個客戶端都有自己的令牌,而且各不相同,之后同樣的請求還會更新令牌,不至于輕易偽造,保障了信息系統(tǒng)提供保密性、不可否認性。

動態(tài)令牌保護前效果圖如下:

Web登錄安全如何保障,通付盾機器人防火墻來護航

動態(tài)令牌保護后效果圖如下:

Web登錄安全如何保障,通付盾機器人防火墻來護航

當(dāng)黑客惡意修改了令牌后效果圖如下:

Web登錄安全如何保障,通付盾機器人防火墻來護航

修改令牌后訪問網(wǎng)站會失效效果圖如下:

Web登錄安全如何保障,通付盾機器人防火墻來護航

通付盾機器人防火墻能夠保護Web登錄安全,有效確保數(shù)據(jù)中途不被篡改,保障用戶的信息安全和數(shù)據(jù)的完整性。

Web登錄安全如何保障,通付盾機器人防火墻來護航

通付盾機器人防火墻為新一代Web應(yīng)用安全防護產(chǎn)品,搭載通付盾自研的動態(tài)防護引擎、爬蟲防護引擎智能決策引擎,整合動態(tài)防護、人機識別、風(fēng)險過濾、自動化攻擊攔截等技術(shù),對所訪問流量進行安全檢測、過濾和智能阻斷。

(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負任何法律責(zé)任。
任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明,并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實,溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )