Web登錄安全如何保障，通付盾機器人防火墻來護航

2021-06-30 16:06:44 來源: 榕城網

1、HTML用戶登錄信息安全示例

常見的Web登錄中，是下面這樣的表單：

（1）作為HTTP請求body中的參數傳遞給后臺，進行登錄校驗。例如用戶名為user1，密碼是123456，在提交登錄時給后臺發送的HTTP請求如下（FireFox或Chrome開發者工具捕獲，需要開啟Preserve log）：

發現即使password字段在輸入時是黑點不可見，但仍然以明文的方式進行截獲請求。

（2）在網絡傳輸過程中，如果被嗅探截取到也會直接危及用戶信息安全，以使用抓包工具Wireshark為例，可以看到HTTP協議傳輸直接暴露用戶的賬戶和密碼：

2、前端使用加密算法能否保證密碼安全？

Web前端通常可以使用某種算法，對相關字段進行加密處理，再將密碼作為HTTP請求的內容進行提交。以下主要介紹兩種加密方式是否真的安全：

（1）非對稱加密HTTPS一定安全嗎？

非對稱加密存在著公鑰私鑰，公鑰可以隨意獲取，私鑰是用來對公鑰解密的本地存儲，通過公私鑰機制可以保證傳輸加密并且目前普遍使用的HTTPS就是基于這個原理。

但是HTTPS就一定安全嗎？其實還存在兩種可能的風險：

HTTPS可以保障傳輸過程中信息不被別人截獲，但實際上HTTPS是應用層協議，底層采用的是SSL加密技術保障信息安全，但是在客戶端和服務端，密文同樣是可以被截獲的；

HTTPS報文在傳輸過程中，如果客戶端被惡意引導安裝“中間人”的Web信任證書，那么HTTPS中的“中間人攻擊”一樣會將明文密碼泄露出去。

（2）MD5存在的安全隱患問題

經過各種安全事件后，很多系統在存放密碼的時候不會直接存放明文密碼，大都改成存放 md5 加密（hash）后的密碼，可是這樣真的安全嗎？

用一個腳本測試下MD5的速度，測試結果：

根據以上結果會發現一個問題：MD5的測試速度太快，導致很容易進行暴力破解。

簡單計算一下：

使用6位純數字密碼，破解只要0.234秒！

使用6位數字+小寫字母密碼，破解只要8.49分鐘！

使用6位數字+大小寫混合字母密碼，破解只要3.69個小時！

因此可以看出，對于MD5的破解其實就是屬于“碰撞”，很多密碼都是采用比較有規律的字母或數字，更能降低暴力破解的難度。

文章開頭的例子：用戶輸入的用戶名是：user1，密碼是：123456，無論在任何協議之下，可以看到實際發送的HTTP/HTTPS報文在MD5處理后是這樣的：

如果直接截獲你的密碼密文，然后發送給服務器不是一樣可以登錄嗎？因為數據庫里不也是MD5(password)一樣的密文嗎？HTTP請求被偽造，一樣可以登錄成功。

3、通付盾機器人防火墻有效防護Web登錄安全

針對以上Web登錄安全問題，通付盾推出了機器人防火墻（新一代動態Web應用防火墻），搭載了自研的動態防護技術，支持對Web登錄頁面進行網頁源碼動態加密、動態令牌等，實現對用戶信息安全的有效保障。

（1）網頁源碼動態加密

通付盾機器人防火墻采用網頁源碼動態加密方式對所需Web站點源碼進行加密保護，從而實現站點安全加固。通過特殊算法改變原有的信息數據,使得未授權用戶即使獲得了已加密的信息,但因不知解密方法,仍然無法了解信息內容，達到隱藏可能存在的攻擊路徑效果，大幅提升攻擊者對Web站點進行攻擊的難度。同時驗證所有用戶輸出到客戶端的內容，防止帶有惡意攻擊代碼的文件提交至服務器，建立可信關系。

網頁源碼動態加密保護前效果如下：

網頁源碼動態加密保護后效果如下：

（2）動態令牌

通過對一次性動態令牌合法性的校驗來確保執行正確的業務邏輯，使我們的網站環境更加安全。動態令牌有唯一性與時效性兩個屬性。

唯一性體現在請求檢查時會解析出令牌中的客戶端信息和當前訪問的客戶端信息進行匹配，如匹配不上則說明該令牌不屬于當前客戶端，很可能令牌被盜用。

時效性是指每一個令牌都設定有效時間，令牌中記錄了令牌設定的時間，當前請求時間減去令牌設定時間即為令牌的生命時間，然后以此判斷令牌是否超過有效時間，超過有效時間的令牌即使客戶端信息正確也不再有效。

令牌由通付盾機器人防火墻本身的機制產生，通過把唯一標識客戶端的信息和請求時間組合在一起，再由特定算法加密得出；產生的令牌在響應時返回給客戶端，客戶端再次請求時就會帶著自己的令牌訪問服務器，每個客戶端都有自己的令牌，而且各不相同，之后同樣的請求還會更新令牌，不至于輕易偽造，保障了信息系統提供保密性、不可否認性。

動態令牌保護前效果圖如下：