Web登錄安全如何保障，通付盾機(jī)器人防火墻來護(hù)航

1、HTML用戶登錄信息安全示例

常見的Web登錄中，是下面這樣的表單：

（1）作為HTTP請(qǐng)求body中的參數(shù)傳遞給后臺(tái)，進(jìn)行登錄校驗(yàn)。例如用戶名為user1，密碼是123456，在提交登錄時(shí)給后臺(tái)發(fā)送的HTTP請(qǐng)求如下（FireFox或Chrome開發(fā)者工具捕獲，需要開啟Preserve log）：

發(fā)現(xiàn)即使password字段在輸入時(shí)是黑點(diǎn)不可見，但仍然以明文的方式進(jìn)行截獲請(qǐng)求。

（2）在網(wǎng)絡(luò)傳輸過程中，如果被嗅探截取到也會(huì)直接危及用戶信息安全，以使用抓包工具Wireshark為例，可以看到HTTP協(xié)議傳輸直接暴露用戶的賬戶和密碼：

2、前端使用加密算法能否保證密碼安全？

Web前端通常可以使用某種算法，對(duì)相關(guān)字段進(jìn)行加密處理，再將密碼作為HTTP請(qǐng)求的內(nèi)容進(jìn)行提交。以下主要介紹兩種加密方式是否真的安全：

（1）非對(duì)稱加密HTTPS一定安全嗎？

非對(duì)稱加密存在著公鑰私鑰，公鑰可以隨意獲取，私鑰是用來對(duì)公鑰解密的本地存儲(chǔ)，通過公私鑰機(jī)制可以保證傳輸加密并且目前普遍使用的HTTPS就是基于這個(gè)原理。

但是HTTPS就一定安全嗎？其實(shí)還存在兩種可能的風(fēng)險(xiǎn)：

HTTPS可以保障傳輸過程中信息不被別人截獲，但實(shí)際上HTTPS是應(yīng)用層協(xié)議，底層采用的是SSL加密技術(shù)保障信息安全，但是在客戶端和服務(wù)端，密文同樣是可以被截獲的；

HTTPS報(bào)文在傳輸過程中，如果客戶端被惡意引導(dǎo)安裝“中間人”的Web信任證書，那么HTTPS中的“中間人攻擊”一樣會(huì)將明文密碼泄露出去。

（2）MD5存在的安全隱患問題

經(jīng)過各種安全事件后，很多系統(tǒng)在存放密碼的時(shí)候不會(huì)直接存放明文密碼，大都改成存放 md5 加密（hash）后的密碼，可是這樣真的安全嗎？

用一個(gè)腳本測(cè)試下MD5的速度，測(cè)試結(jié)果：

根據(jù)以上結(jié)果會(huì)發(fā)現(xiàn)一個(gè)問題：MD5的測(cè)試速度太快，導(dǎo)致很容易進(jìn)行暴力破解。

簡(jiǎn)單計(jì)算一下：

使用6位純數(shù)字密碼，破解只要0.234秒！

使用6位數(shù)字+小寫字母密碼，破解只要8.49分鐘！

使用6位數(shù)字+大小寫混合字母密碼，破解只要3.69個(gè)小時(shí)！

因此可以看出，對(duì)于MD5的破解其實(shí)就是屬于“碰撞”，很多密碼都是采用比較有規(guī)律的字母或數(shù)字，更能降低暴力破解的難度。

文章開頭的例子：用戶輸入的用戶名是：user1，密碼是：123456，無論在任何協(xié)議之下，可以看到實(shí)際發(fā)送的HTTP/HTTPS報(bào)文在MD5處理后是這樣的：

如果直接截獲你的密碼密文，然后發(fā)送給服務(wù)器不是一樣可以登錄嗎？因?yàn)閿?shù)據(jù)庫里不也是MD5(password)一樣的密文嗎？HTTP請(qǐng)求被偽造，一樣可以登錄成功。

3、通付盾機(jī)器人防火墻有效防護(hù)Web登錄安全

針對(duì)以上Web登錄安全問題，通付盾推出了機(jī)器人防火墻（新一代動(dòng)態(tài)Web應(yīng)用防火墻），搭載了自研的動(dòng)態(tài)防護(hù)技術(shù)，支持對(duì)Web登錄頁面進(jìn)行網(wǎng)頁源碼動(dòng)態(tài)加密、動(dòng)態(tài)令牌等，實(shí)現(xiàn)對(duì)用戶信息安全的有效保障。

（1）網(wǎng)頁源碼動(dòng)態(tài)加密

通付盾機(jī)器人防火墻采用網(wǎng)頁源碼動(dòng)態(tài)加密方式對(duì)所需Web站點(diǎn)源碼進(jìn)行加密保護(hù)，從而實(shí)現(xiàn)站點(diǎn)安全加固。通過特殊算法改變?cè)械男畔?shù)據(jù),使得未授權(quán)用戶即使獲得了已加密的信息,但因不知解密方法,仍然無法了解信息內(nèi)容，達(dá)到隱藏可能存在的攻擊路徑效果，大幅提升攻擊者對(duì)Web站點(diǎn)進(jìn)行攻擊的難度。同時(shí)驗(yàn)證所有用戶輸出到客戶端的內(nèi)容，防止帶有惡意攻擊代碼的文件提交至服務(wù)器，建立可信關(guān)系。

網(wǎng)頁源碼動(dòng)態(tài)加密保護(hù)前效果如下：

網(wǎng)頁源碼動(dòng)態(tài)加密保護(hù)后效果如下：

（2）動(dòng)態(tài)令牌

通過對(duì)一次性動(dòng)態(tài)令牌合法性的校驗(yàn)來確保執(zhí)行正確的業(yè)務(wù)邏輯，使我們的網(wǎng)站環(huán)境更加安全。動(dòng)態(tài)令牌有唯一性與時(shí)效性兩個(gè)屬性。

唯一性體現(xiàn)在請(qǐng)求檢查時(shí)會(huì)解析出令牌中的客戶端信息和當(dāng)前訪問的客戶端信息進(jìn)行匹配，如匹配不上則說明該令牌不屬于當(dāng)前客戶端，很可能令牌被盜用。

時(shí)效性是指每一個(gè)令牌都設(shè)定有效時(shí)間，令牌中記錄了令牌設(shè)定的時(shí)間，當(dāng)前請(qǐng)求時(shí)間減去令牌設(shè)定時(shí)間即為令牌的生命時(shí)間，然后以此判斷令牌是否超過有效時(shí)間，超過有效時(shí)間的令牌即使客戶端信息正確也不再有效。

令牌由通付盾機(jī)器人防火墻本身的機(jī)制產(chǎn)生，通過把唯一標(biāo)識(shí)客戶端的信息和請(qǐng)求時(shí)間組合在一起，再由特定算法加密得出；產(chǎn)生的令牌在響應(yīng)時(shí)返回給客戶端，客戶端再次請(qǐng)求時(shí)就會(huì)帶著自己的令牌訪問服務(wù)器，每個(gè)客戶端都有自己的令牌，而且各不相同，之后同樣的請(qǐng)求還會(huì)更新令牌，不至于輕易偽造，保障了信息系統(tǒng)提供保密性、不可否認(rèn)性。

動(dòng)態(tài)令牌保護(hù)前效果圖如下：

動(dòng)態(tài)令牌保護(hù)后效果圖如下：

當(dāng)黑客惡意修改了令牌后效果圖如下：

修改令牌后訪問網(wǎng)站會(huì)失效效果圖如下：

通付盾機(jī)器人防火墻能夠保護(hù)Web登錄安全，有效確保數(shù)據(jù)中途不被篡改，保障用戶的信息安全和數(shù)據(jù)的完整性。

通付盾機(jī)器人防火墻為新一代Web應(yīng)用安全防護(hù)產(chǎn)品，搭載通付盾自研的動(dòng)態(tài)防護(hù)引擎、爬蟲防護(hù)引擎和智能決策引擎，整合動(dòng)態(tài)防護(hù)、人機(jī)識(shí)別、風(fēng)險(xiǎn)過濾、自動(dòng)化攻擊攔截等技術(shù)，對(duì)所訪問流量進(jìn)行安全檢測(cè)、過濾和智能阻斷。

免責(zé)聲明：市場(chǎng)有風(fēng)險(xiǎn)，選擇需謹(jǐn)慎！此文僅供參考，不作買賣依據(jù)。

關(guān)鍵詞：