Web登錄安全如何保障,通付盾機器人防火墻來護航
1、HTML用戶登錄信息安全示例
常見的Web登錄中,是下面這樣的表單:
(1)作為HTTP請求body中的參數(shù)傳遞給后臺,進行登錄校驗。例如用戶名為user1,密碼是123456,在提交登錄時給后臺發(fā)送的HTTP請求如下(FireFox或Chrome開發(fā)者工具捕獲,需要開啟Preserve log):
發(fā)現(xiàn)即使password字段在輸入時是黑點不可見,但仍然以明文的方式進行截獲請求。
(2)在網(wǎng)絡(luò)傳輸過程中,如果被嗅探截取到也會直接危及用戶信息安全,以使用抓包工具Wireshark為例,可以看到HTTP協(xié)議傳輸直接暴露用戶的賬戶和密碼:
2、前端使用加密算法能否保證密碼安全?
Web前端通??梢允褂媚撤N算法,對相關(guān)字段進行加密處理,再將密碼作為HTTP請求的內(nèi)容進行提交。以下主要介紹兩種加密方式是否真的安全:
(1)非對稱加密HTTPS一定安全嗎?
非對稱加密存在著公鑰私鑰,公鑰可以隨意獲取,私鑰是用來對公鑰解密的本地存儲,通過公私鑰機制可以保證傳輸加密并且目前普遍使用的HTTPS就是基于這個原理。
但是HTTPS就一定安全嗎?其實還存在兩種可能的風(fēng)險:
HTTPS可以保障傳輸過程中信息不被別人截獲,但實際上HTTPS是應(yīng)用層協(xié)議,底層采用的是SSL加密技術(shù)保障信息安全,但是在客戶端和服務(wù)端,密文同樣是可以被截獲的;
HTTPS報文在傳輸過程中,如果客戶端被惡意引導(dǎo)安裝“中間人”的Web信任證書,那么HTTPS中的“中間人攻擊”一樣會將明文密碼泄露出去。
(2)MD5存在的安全隱患問題
經(jīng)過各種安全事件后,很多系統(tǒng)在存放密碼的時候不會直接存放明文密碼,大都改成存放 md5 加密(hash)后的密碼,可是這樣真的安全嗎?
用一個腳本測試下MD5的速度,測試結(jié)果:
根據(jù)以上結(jié)果會發(fā)現(xiàn)一個問題:MD5的測試速度太快,導(dǎo)致很容易進行暴力破解。
簡單計算一下:
使用6位純數(shù)字密碼,破解只要0.234秒!
使用6位數(shù)字+小寫字母密碼,破解只要8.49分鐘!
使用6位數(shù)字+大小寫混合字母密碼,破解只要3.69個小時!
因此可以看出,對于MD5的破解其實就是屬于“碰撞”,很多密碼都是采用比較有規(guī)律的字母或數(shù)字,更能降低暴力破解的難度。
文章開頭的例子:用戶輸入的用戶名是:user1,密碼是:123456,無論在任何協(xié)議之下,可以看到實際發(fā)送的HTTP/HTTPS報文在MD5處理后是這樣的:
如果直接截獲你的密碼密文,然后發(fā)送給服務(wù)器不是一樣可以登錄嗎?因為數(shù)據(jù)庫里不也是MD5(password)一樣的密文嗎?HTTP請求被偽造,一樣可以登錄成功。
3、通付盾機器人防火墻有效防護Web登錄安全
針對以上Web登錄安全問題,通付盾推出了機器人防火墻(新一代動態(tài)Web應(yīng)用防火墻),搭載了自研的動態(tài)防護技術(shù),支持對Web登錄頁面進行網(wǎng)頁源碼動態(tài)加密、動態(tài)令牌等,實現(xiàn)對用戶信息安全的有效保障。
(1)網(wǎng)頁源碼動態(tài)加密
通付盾機器人防火墻采用網(wǎng)頁源碼動態(tài)加密方式對所需Web站點源碼進行加密保護,從而實現(xiàn)站點安全加固。通過特殊算法改變原有的信息數(shù)據(jù),使得未授權(quán)用戶即使獲得了已加密的信息,但因不知解密方法,仍然無法了解信息內(nèi)容,達(dá)到隱藏可能存在的攻擊路徑效果,大幅提升攻擊者對Web站點進行攻擊的難度。同時驗證所有用戶輸出到客戶端的內(nèi)容,防止帶有惡意攻擊代碼的文件提交至服務(wù)器,建立可信關(guān)系。
網(wǎng)頁源碼動態(tài)加密保護前效果如下:
網(wǎng)頁源碼動態(tài)加密保護后效果如下:
(2)動態(tài)令牌
通過對一次性動態(tài)令牌合法性的校驗來確保執(zhí)行正確的業(yè)務(wù)邏輯,使我們的網(wǎng)站環(huán)境更加安全。動態(tài)令牌有唯一性與時效性兩個屬性。
唯一性體現(xiàn)在請求檢查時會解析出令牌中的客戶端信息和當(dāng)前訪問的客戶端信息進行匹配,如匹配不上則說明該令牌不屬于當(dāng)前客戶端,很可能令牌被盜用。
時效性是指每一個令牌都設(shè)定有效時間,令牌中記錄了令牌設(shè)定的時間,當(dāng)前請求時間減去令牌設(shè)定時間即為令牌的生命時間,然后以此判斷令牌是否超過有效時間,超過有效時間的令牌即使客戶端信息正確也不再有效。
令牌由通付盾機器人防火墻本身的機制產(chǎn)生,通過把唯一標(biāo)識客戶端的信息和請求時間組合在一起,再由特定算法加密得出;產(chǎn)生的令牌在響應(yīng)時返回給客戶端,客戶端再次請求時就會帶著自己的令牌訪問服務(wù)器,每個客戶端都有自己的令牌,而且各不相同,之后同樣的請求還會更新令牌,不至于輕易偽造,保障了信息系統(tǒng)提供保密性、不可否認(rèn)性。
動態(tài)令牌保護前效果圖如下:
動態(tài)令牌保護后效果圖如下:
當(dāng)黑客惡意修改了令牌后效果圖如下:
修改令牌后訪問網(wǎng)站會失效效果圖如下:
通付盾機器人防火墻能夠保護Web登錄安全,有效確保數(shù)據(jù)中途不被篡改,保障用戶的信息安全和數(shù)據(jù)的完整性。
通付盾機器人防火墻為新一代Web應(yīng)用安全防護產(chǎn)品,搭載通付盾自研的動態(tài)防護引擎、爬蟲防護引擎和智能決策引擎,整合動態(tài)防護、人機識別、風(fēng)險過濾、自動化攻擊攔截等技術(shù),對所訪問流量進行安全檢測、過濾和智能阻斷。
免責(zé)聲明:市場有風(fēng)險,選擇需謹(jǐn)慎!此文僅供參考,不作買賣依據(jù)。
關(guān)鍵詞:
您可能也感興趣:
今日熱點
為您推薦
8家險企股權(quán)被掛牌轉(zhuǎn)讓,為何險企股權(quán)不再被追捧?
深圳最低工資標(biāo)準(zhǔn)調(diào)整為2360元/月 失業(yè)保險金為2124元/月
遼寧實施失業(yè)保險省級統(tǒng)籌 對缺口核定等作出詳細(xì)規(guī)定
更多
- 蕪湖釋放創(chuàng)新“N次方”效應(yīng) 數(shù)字賦能驅(qū)動產(chǎn)業(yè)升級
- 重慶:激發(fā)人才創(chuàng)新活力,到2025年創(chuàng)新要素活躍度顯著增強
- 西寧加快知識產(chǎn)權(quán)強市建設(shè)步伐 去年兌現(xiàn)資助資金200萬元
- 無錫錫山區(qū)全面啟動實施“雙招雙引” 引進高端創(chuàng)新資源
- 重慶巴南區(qū)落實創(chuàng)新驅(qū)動發(fā)展戰(zhàn)略 以科技創(chuàng)新引領(lǐng)五大產(chǎn)業(yè)集...
- 朝陽北票經(jīng)開區(qū)加快推進數(shù)字經(jīng)濟發(fā)展 推動體制機制創(chuàng)新
- 湖北省先進低碳冶金產(chǎn)業(yè)技術(shù)創(chuàng)新聯(lián)合體組建 打造五千億級產(chǎn)...
- 重慶渝北將優(yōu)化創(chuàng)新生態(tài)環(huán)境 培育打造一批引領(lǐng)型的科創(chuàng)載體
更多
- 深圳不斷提升對外投資水平 “走出去”服務(wù)水平顯著提高
- 去年實際使用外資達(dá)1.1萬億元 來源地投資穩(wěn)定增長
- 北京“十四五”投資實現(xiàn)良好開局 高技術(shù)產(chǎn)業(yè)投資亮眼
- 山東抓投資抓項目 新興領(lǐng)域投資規(guī)模持續(xù)擴大
- 2021年各地引資成績單亮眼 迸發(fā)出巨大經(jīng)濟活力
- 多地重大項目投資規(guī)模力度明顯加大 新基建項目成重要發(fā)力點
- 年內(nèi)湖北新開工城建項目160個 集中在道路交通等方面
- 去年我國對外投資合作平穩(wěn)發(fā)展 境外經(jīng)貿(mào)合作區(qū)建設(shè)成效顯著
排行
- 春運吉途,從臺鈴開始
- 陸金所會員2.0襲來:多元化升級用戶權(quán)益,為美好生活賦能
- 嗨學(xué)網(wǎng)怎么樣?主流職業(yè)領(lǐng)域課程為核心 業(yè)務(wù)體系在國內(nèi)職教界
- 明星主播唐笑應(yīng)邀參加首屆中國國際消費品博覽會簽約儀式 助...
- UFC冠軍張偉麗成為Hyperice(海博艾斯)全球運動員大使
- 黃河旋風(fēng):超硬材料單晶產(chǎn)品支撐行業(yè)下游產(chǎn)業(yè)發(fā)展
- 重塑IP新場景!鄭州絨言絨語走進鄂爾多斯金鼎亨深度探索
- 一家線上美妝店的反向成長之路:話梅的新零售
- 荷蘭佳貝艾特——進口羊奶粉市場的風(fēng)向標(biāo),營養(yǎng)新選擇
- 滴滴出行上市,估值高達(dá)千億美金,竟因這個你沒聽過的業(yè)務(wù)!
最近更新
- 增速獲客賽道 激活年輕屬性——興業(yè)銀行信用卡“圈粉”90后
- 百融云創(chuàng)與某銀行達(dá)成戰(zhàn)略合作 SaaS平臺促進數(shù)字化轉(zhuǎn)型
- “高速上違停趕報表”警示了誰?
- 離職文書的“坑”不能僅由勞動者填平
- 脫掉K-9包袱節(jié)流減員,新東方在線駛向新“東方”
- 疫情得到控制,防疫仍不可松勁
- ?青海春天一字跌停,2021年預(yù)虧超2.65億或?qū)⒈粚嵤┩耸酗L(fēng)險警示
- 金地集團子公司東莞金展房地產(chǎn)因虛假材料取得商品房預(yù)售許可被罰
- 幫助中小企業(yè)紓困解難,工信部明確這些舉措!
- 非學(xué)科類培訓(xùn)班寒假惡意漲價需綜合施治
- 機構(gòu):2021年126家房企參與收并購 交易金額同比增長21.3%
- 北京:買四類藥品實施新政 市場監(jiān)管進店查落實
- 營收凈利雙降,沃華醫(yī)藥用九成利潤給股東“發(fā)紅包”
- 東莞保越實業(yè)因虛假材料取得商品房預(yù)售許可被罰 其系保利、...
- 北京:保證春節(jié)群眾需求不脫銷、不斷檔
- 天津積分落戶新政:取消年度落戶數(shù)量限制
- 五糧液集團實現(xiàn)營收1400億元
- 瑞爾集團再遞表港交所:連續(xù)三年虧損 淡馬錫持股10.88% 43...
- 豐臺今天開展第二輪全員核酸篩查
- 發(fā)改委給高耗能企業(yè)定KPI:冬奧會用的神奇綠電,要引入碳交易
- 比亞迪:2021年94名員工因不廉潔、嚴(yán)重違規(guī)被查處
- 采購進口冷鏈?zhǔn)称沸枰龊脗€人防護
- 特斯拉反訴摩根大通 :想借馬斯克發(fā)布私有化推特獲利益
- 北京市疫情防控形勢總體可控
- 東莞中海嘉樺房地產(chǎn)因虛假材料取得商品房預(yù)售許可被罰 其系...
- 騰訊2021年近70人觸犯“高壓線”被辭退,13家企業(yè)進黑名單
- 東莞海逸豪庭項目存在違規(guī)行為東莞冠亞環(huán)崗湖商住區(qū)建造公司...
- 當(dāng)心!玩雪引發(fā)的婦科危機
- 華夏幸福旗下幸?;鶚I(yè)物業(yè)與捷裎控股(廣州)就住宅、酒店等...
- 里昂上調(diào)華潤萬象生活目標(biāo)價約11.7%至53.6港元
今日要聞
- 增速獲客賽道 激活年輕屬性——興業(yè)銀行信用卡“圈粉”90后
- 百融云創(chuàng)與某銀行達(dá)成戰(zhàn)略合作 SaaS平臺促進數(shù)字化轉(zhuǎn)型
- 脫掉K-9包袱節(jié)流減員,新東方在線駛向新“東方”
- ?青海春天一字跌停,2021年預(yù)虧超2.65億或?qū)⒈粚嵤┩耸酗L(fēng)險警示
- 金地集團子公司東莞金展房地產(chǎn)因虛假材料取得商品房預(yù)售許可被罰
- 幫助中小企業(yè)紓困解難,工信部明確這些舉措!
- 機構(gòu):2021年126家房企參與收并購 交易金額同比增長21.3%
- 營收凈利雙降,沃華醫(yī)藥用九成利潤給股東“發(fā)紅包”
- 東莞保越實業(yè)因虛假材料取得商品房預(yù)售許可被罰 其系保利、卓越合營子公司
- 天津積分落戶新政:取消年度落戶數(shù)量限制