守住网络安全的第一道防线

随着互联网的普及,网络上的各种活动越来越活跃,然网络的安全越来越来越受到关注,然安全的第一道防线就是登录,也是黑客攻击的第一步。第一道防线失守,你的站也就不是你的了。那会员登录要怎么防守才安全?现有两种安全机制:HTTPS(Hypertext Transfer Protocol Secure) 与图片验证机制(CAPTCHA)。

  其实这二个机制都有破解的方式,先就HTTPS来看,它可以被SSLStrip的攻击手法攻陷,举例来说,当使用者点击有HTTPS的登录页面时,SSLStrip会修改网站未加密的回应,使“HTTPS变成HTTP”,甚至可以在浏览器位址栏中显示https的安全锁logo。其过程如下:

  1.设定iptables转向HTTP传输SSLstrip。(iptables -t nat -A PREROUTING -p tcp destination-port 80 -j REDIRECT to-port)

  2.开启SSLstrip。(sslstrip.py -l <​​listenPort>)

  3.使用ARP Spoofing攻击。(arpspoof -i-t)

  流程如下图:

  

  由此来看,有了https传输当然不可能完全阻挡黑客攻击,但企业亦无须太过担心,这种攻击方式有限制,必须要在同一个区网环境并且使用ARP Spoofing攻击才会成功,因此,环境上只需要锁好IP与MAC之对应,就可以挡住这种中间人攻击手法,也不必担心由ARP Spoofing攻击延伸做到DNS Spoofing的风险。

  至于图片验证机制(CAPTCHA),一般来说可以用来阻挡以下几种情况:

  第一、列举攻击(也叫尝试攻击,登录、注册或密码重置表单往往容易受到列举攻击,倘若没有使用图片验证机制,攻击者可以在很短的时间内得到有效帐号,或其它敏感信息),或是暴力破解攻击手段。

  第二、在短时间内自动发送许多不需要的GET/POST请求(例如:短信/电子邮件泛滥),CAPTCHA可达到速率限制功能。

  第三、自动建立线上服务的使用帐户。

  第四、出于商业促销、骚扰或破坏目的行为。

  第五、任何从应用程式大量收集或滥用敏感资讯的自动攻击行为。

  而图片验证机制的破解方式有二种,一是利用程序先将图片经过加强对比、锐化,然后再透过图形比对就可以还原出图片中的数字。二则是透过人工来做,人工解验证码的工作叫做打码任务(captcha human bypass),这就是所说的另一种黑客经济,不过这就是苦力活了。

  从会员登入机制的攻防两方来看,图片验证码只是第一道防线!防守方可以设计,当尝试登入失败一定次数后,自动锁住帐号使用权限,或阻挡来源IP,让此来源的IP无法存取服务,虽然说黑客可以再去找肉鸡或是Proxy更改IP,但这总是需要一段时间。换句话说,图片验证机制虽然不能完全阻止黑客攻击,但若能搭配监控制度,增加黑客攻击时的难度,延缓黑客破解成功之时间,只要能延缓到以年为单位,大部分的黑客都会放弃对此站台进行攻击。

  没有任何一种安全机制可以做到百分百的安全,但只要做好配套,就能提升安全强度,以会员登入机制来看,除了HTTPS与图片验证码之外,还可以搭配使用动态密码( One-time password),增加身份认证机制的强度,比较安全的设计是,在做身份验证时,除了帐号、密码外,还要输入OTP密码,此时即使OTP被他人取得,只要前面的两项信息不是一起泄漏,就能降低被破解之风险。

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值