随着互联网的普及,网络上的各种活动越来越活跃,然网络的安全越来越来越受到关注,然安全的第一道防线就是登录,也是黑客攻击的第一步。第一道防线失守,你的站也就不是你的了。那会员登录要怎么防守才安全?现有两种安全机制:HTTPS(Hypertext Transfer Protocol Secure) 与图片验证机制(CAPTCHA)。
其实这二个机制都有破解的方式,先就HTTPS来看,它可以被SSLStrip的攻击手法攻陷,举例来说,当使用者点击有HTTPS的登录页面时,SSLStrip会修改网站未加密的回应,使“HTTPS变成HTTP”,甚至可以在浏览器位址栏中显示https的安全锁logo。其过程如下:
1.设定iptables转向HTTP传输SSLstrip。(iptables -t nat -A PREROUTING -p tcp destination-port 80 -j REDIRECT to-port)
2.开启SSLstrip。(sslstrip.py -l <listenPort>)
3.使用ARP Spoofing攻击。(arpspoof -i-t)
流程如下图:
由此来看,有了https传输当然不可能完全阻挡黑客攻击,但企业亦无须太过担心,这种攻击方式有限制,必须要在同一个区网环境并且使用ARP Spoofing攻击才会成功,因此,环境上只需要锁好IP与MAC之对应,就可以挡住这种中间人攻击手法,也不必担心由ARP Spoofing攻击延伸做到DNS Spoofing的风险。
至于图片验证机制(CAPTCHA),一般来说可以用来阻挡以下几种情况:
第一、列举攻击(也叫尝试攻击,登录、注册或密码重置表单往往容易受到列举攻击,倘若没有使用图片验证机制,攻击者可以在很短的时间内得到有效帐号,或其它敏感信息),或是暴力破解攻击手段。
第二、在短时间内自动发送许多不需要的GET/POST请求(例如:短信/电子邮件泛滥),CAPTCHA可达到速率限制功能。
第三、自动建立线上服务的使用帐户。
第四、出于商业促销、骚扰或破坏目的行为。
第五、任何从应用程式大量收集或滥用敏感资讯的自动攻击行为。
而图片验证机制的破解方式有二种,一是利用程序先将图片经过加强对比、锐化,然后再透过图形比对就可以还原出图片中的数字。二则是透过人工来做,人工解验证码的工作叫做打码任务(captcha human bypass),这就是所说的另一种黑客经济,不过这就是苦力活了。
从会员登入机制的攻防两方来看,图片验证码只是第一道防线!防守方可以设计,当尝试登入失败一定次数后,自动锁住帐号使用权限,或阻挡来源IP,让此来源的IP无法存取服务,虽然说黑客可以再去找肉鸡或是Proxy更改IP,但这总是需要一段时间。换句话说,图片验证机制虽然不能完全阻止黑客攻击,但若能搭配监控制度,增加黑客攻击时的难度,延缓黑客破解成功之时间,只要能延缓到以年为单位,大部分的黑客都会放弃对此站台进行攻击。
没有任何一种安全机制可以做到百分百的安全,但只要做好配套,就能提升安全强度,以会员登入机制来看,除了HTTPS与图片验证码之外,还可以搭配使用动态密码( One-time password),增加身份认证机制的强度,比较安全的设计是,在做身份验证时,除了帐号、密码外,还要输入OTP密码,此时即使OTP被他人取得,只要前面的两项信息不是一起泄漏,就能降低被破解之风险。
350
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
