Web登錄安全如何保障，通付盾機器人防火墻來護航

1、HTML用戶登錄信息安全示例

常見的Web登錄中，是下面這樣的表單：

(1)作為HTTP請求body中的參數(shù)傳遞給后臺，進行登錄校驗。例如用戶名為user1，密碼是123456，在提交登錄時給后臺發(fā)送的HTTP請求如下(FireFox或Chrome開發(fā)者工具捕獲，需要開啟Preserve log)：

發(fā)現(xiàn)即使password字段在輸入時是黑點不可見，但仍然以明文的方式進行截獲請求。

(2)在網(wǎng)絡傳輸過程中，如果被嗅探截取到也會直接危及用戶信息安全，以使用抓包工具Wireshark為例，可以看到HTTP協(xié)議傳輸直接暴露用戶的賬戶和密碼：

2、前端使用加密算法能否保證密碼安全？

Web前端通常可以使用某種算法，對相關字段進行加密處理，再將密碼作為HTTP請求的內(nèi)容進行提交。以下主要介紹兩種加密方式是否真的安全：

(1)非對稱加密HTTPS一定安全嗎？

非對稱加密存在著公鑰私鑰，公鑰可以隨意獲取，私鑰是用來對公鑰解密的本地存儲，通過公私鑰機制可以保證傳輸加密并且目前普遍使用的HTTPS就是基于這個原理。

但是HTTPS就一定安全嗎?其實還存在兩種可能的風險：

HTTPS可以保障傳輸過程中信息不被別人截獲，但實際上HTTPS是應用層協(xié)議，底層采用的是SSL加密技術保障信息安全，但是在客戶端和服務端，密文同樣是可以被截獲的;

HTTPS報文在傳輸過程中，如果客戶端被惡意引導安裝“中間人”的Web信任證書，那么HTTPS中的“中間人攻擊”一樣會將明文密碼泄露出去。

(2)MD5存在的安全隱患問題

經(jīng)過各種安全事件后，很多系統(tǒng)在存放密碼的時候不會直接存放明文密碼，大都改成存放 md5 加密(hash)后的密碼，可是這樣真的安全嗎?

用一個腳本測試下MD5的速度，測試結(jié)果：

根據(jù)以上結(jié)果會發(fā)現(xiàn)一個問題：MD5的測試速度太快，導致很容易進行暴力破解。

簡單計算一下：

使用6位純數(shù)字密碼，破解只要0.234秒!

使用6位數(shù)字+小寫字母密碼，破解只要8.49分鐘!

使用6位數(shù)字+大小寫混合字母密碼，破解只要3.69個小時!

因此可以看出，對于MD5的破解其實就是屬于“碰撞”，很多密碼都是采用比較有規(guī)律的字母或數(shù)字，更能降低暴力破解的難度。

文章開頭的例子：用戶輸入的用戶名是：user1，密碼是：123456，無論在任何協(xié)議之下，可以看到實際發(fā)送的HTTP/HTTPS報文在MD5處理后是這樣的：

如果直接截獲你的密碼密文，然后發(fā)送給服務器不是一樣可以登錄嗎?因為數(shù)據(jù)庫里不也是MD5(password)一樣的密文嗎?HTTP請求被偽造，一樣可以登錄成功。

3、通付盾機器人防火墻有效防護Web登錄安全

針對以上Web登錄安全問題，通付盾推出了機器人防火墻(新一代動態(tài)Web應用防火墻)，搭載了自研的動態(tài)防護技術，支持對Web登錄頁面進行網(wǎng)頁源碼動態(tài)加密、動態(tài)令牌等，實現(xiàn)對用戶信息安全的有效保障。

(1)網(wǎng)頁源碼動態(tài)加密

通付盾機器人防火墻采用網(wǎng)頁源碼動態(tài)加密方式對所需Web站點源碼進行加密保護，從而實現(xiàn)站點安全加固。通過特殊算法改變原有的信息數(shù)據(jù),使得未授權用戶即使獲得了已加密的信息,但因不知解密方法,仍然無法了解信息內(nèi)容，達到隱藏可能存在的攻擊路徑效果，大幅提升攻擊者對Web站點進行攻擊的難度。同時驗證所有用戶輸出到客戶端的內(nèi)容，防止帶有惡意攻擊代碼的文件提交至服務器，建立可信關系。

網(wǎng)頁源碼動態(tài)加密保護前效果如下：

網(wǎng)頁源碼動態(tài)加密保護后效果如下：

(2)動態(tài)令牌

通過對一次性動態(tài)令牌合法性的校驗來確保執(zhí)行正確的業(yè)務邏輯，使我們的網(wǎng)站環(huán)境更加安全。動態(tài)令牌有唯一性與時效性兩個屬性。

唯一性體現(xiàn)在請求檢查時會解析出令牌中的客戶端信息和當前訪問的客戶端信息進行匹配，如匹配不上則說明該令牌不屬于當前客戶端，很可能令牌被盜用。

時效性是指每一個令牌都設定有效時間，令牌中記錄了令牌設定的時間，當前請求時間減去令牌設定時間即為令牌的生命時間，然后以此判斷令牌是否超過有效時間，超過有效時間的令牌即使客戶端信息正確也不再有效。

令牌由通付盾機器人防火墻本身的機制產(chǎn)生，通過把唯一標識客戶端的信息和請求時間組合在一起，再由特定算法加密得出;產(chǎn)生的令牌在響應時返回給客戶端，客戶端再次請求時就會帶著自己的令牌訪問服務器，每個客戶端都有自己的令牌，而且各不相同，之后同樣的請求還會更新令牌，不至于輕易偽造，保障了信息系統(tǒng)提供保密性、不可否認性。

動態(tài)令牌保護前效果圖如下：

動態(tài)令牌保護后效果圖如下：

當黑客惡意修改了令牌后效果圖如下：

修改令牌后訪問網(wǎng)站會失效效果圖如下：

通付盾機器人防火墻能夠保護Web登錄安全，有效確保數(shù)據(jù)中途不被篡改，保障用戶的信息安全和數(shù)據(jù)的完整性。

通付盾機器人防火墻為新一代Web應用安全防護產(chǎn)品，搭載通付盾自研的動態(tài)防護引擎、爬蟲防護引擎和智能決策引擎，整合動態(tài)防護、人機識別、風險過濾、自動化攻擊攔截等技術，對所訪問流量進行安全檢測、過濾和智能阻斷。

（免責聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。
任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權或存在不實內(nèi)容時，應及時向本網(wǎng)站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內(nèi)容或斷開相關鏈接。 ）