安全(1)——登录的设计与攻击

最新推荐文章于 2024-10-13 17:16:36 发布
最新推荐文章于 2024-10-13 17:16:36 发布
阅读量386 收藏 3
点赞数 5
分类专栏: 安全 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43435138/article/details/141184169
版权

所有的开发当自己能手写web系统的时候,入门的第一课大半是学会自己写个登录的简单的交互。这里梳理下,从简单到实战中的登录差别。

0. 入门新
前端的form表单,属于HTML部分
<form action="/login" method="post">

      <input type="text" name="username" placeholder="Username" required>

      <input type="password" name="password" placeholder="Password" required>

      <input type="submit" value="Login">

</form>
在这里,前端只传递username字段和password密码字段,登录后端。后端拿到username和password,进行验证,通过就表示登录成功,失败就表示登录失败。

  1. 验证的加密
    为了防止别人直接看到明文密码,我们需要进行对明文密码加密运算,常用的md5或者sha256加密,其中md5用的比较频繁。而为了让不同人的同样的密码,在后台看不出来一样,我们会额外再user表里面增加一个salt的字段,salt是随机生成的,每个用户注册的时候,都会随机生成一个不同的盐,这样确保登录密码相同情况下,密码也是不同的。一般盐的加密passwd = md5(passwd+salt) 。这样就算拿到了数据库也是不知道用户明文密码的。这是salt字段的由来。

不过在最新的加密验证里面,已经不推荐使用md5进行加密相关验证,使用的是Password_verify 和password_hash 官方库对密码进行对应维护。防止出现时间运算漏洞,暴露密码的相关信息。
 

  1. 在验证加密了的情况下,就算数据库不小心被泄露,也不影响用户的账号+密码泄露了。但是攻击者,可以通过HTTP的路由劫持,拿到你post的username和password,这个被称之为中间人攻击,于是我们想到了我们用https证书(这个会导致即使你再信息传输过程中拿到了信息,但是也不知道具体的信息)。这样攻击者拿到你的中途信息是无效的。
    包括最常见的如果不小心使用代理访问网站,数据也会被中途的代理拿到数据,这个时候明文访问的信息是很危险的。
     
  2. 加上证书的保护之后,由于网站之前采用的是安全加密访问,攻击者就算拿到了数据信息,也是无效的。攻击者于是开始采用暴力破解手段,首先他们手上有部分常用的密码字典+常用的用户名,然后猜测到你后台的用户名字是admin/root之类的。用代码实现一个模拟提交username+password的脚本。脚本每秒可以提交N个,如果碰巧你的密码是123456789 基本就直接被破解了后台的登录。哪怕你是abc123456这种复杂一点的,他也在字典库里面找到。更何况茫茫网络,很多人手里有一本厚厚的80%人常用的密码字典。于是程序设计的人知道了,提交的时候,额外验证发出服务器端请求的IP,每次超过10次错误,就锁定这个被探测的账号比如admin,该账户直接被封锁24小时。
     
  3. 10次就锁定账户的模式,会导致穷举法直接失效。但是他们很可能不需要登录账号,只需要你系统存在某个账号就可以,典型的就是你的用户是手机号为用户名登录的,恶意对手,为了获取你的客户,就把所有可能性手机号一个一个的投喂给你的接口,就等你的接口返回——该账号不存在(继续尝试下个账号)该账号密码错误(表示尝试成功,拿到了你系统内部的客户手机号,这个是最关键的,其他的反而并不是那么重要),这个时候,你限定他尝试错误十次,毫无防御的意义。于是你加了个限制,只允许用户从你的网站提交表单模式,试图限制对方这种一个简单脚本就穿透你防御接口的操作。这样普通直接提交的接口就失效了。你再数据提交的接口新增了reffer来源检测,同时限定了接收的数据格式是表单格式
     
  4. 单纯的表单模式提交数据和reffer来源检测,很容易被伪造。于是你想到了再每个页面加入一个随机的token。每次刷新你网站的时候,你都会刷新token,而且该token验证一次就失效。这样远程暴力破解,无法绕过你这个随机参数,必然要每次都获取你这个随机参数。破解的人没有办法,他不能仅仅依靠自己的字典,来跑你接口,必须先取得网站的授权token,然后再开始验证数据,否则直接提示其token错误。这样他验证的成本大幅度上升。
    但是攻击者仍然可以通过反复刷新你页面,通过不同IP,然后伪造头部相关信息,仍然可以像你发出请求。
  5. 于是你开始加入验证码。验证码的生成逻辑是有一个外的验证码接口,每次请求之前,随机生成一个验证码,这样客户端会拿到一个随机的验证码,验证码输入通过,才会进行后面操作。跟token的效果类似,但是比token抗拒力加强不少。
    验证码需要进行识别,需要使用到验证码识别库(这个复杂度对于普通探测已经高了很多)。
  6. Token+验证码+登录错误报警的模式,已经可以拦截绝大部分非正常访问,但是如果用户是正常登录,但是被人批量群控账号来操作。这个时候,需要对账户的登录IP/登录代理设备信息进行记录,同时加入常见的风险提示库。

大梁来了
关注
专栏目录
网络安全威胁——缓冲区溢出攻击
聚集机器学习、信息安全
11-05 8082
攻击者可以利用缓冲区溢出修改计算机的内存,破坏或控制程序的执行,导致数据损坏、程序崩溃,甚至是恶意代码的执行。
网络安全威胁——SQL注入攻击
聚集机器学习、信息安全
04-04 9755
随着互联网的发展和普及,网络安全问题越来越突出。SQL注入(SQL Injection)攻击是其中最普遍的安全隐患之一,它利用应用程序对用户输入数据的信任,将恶意SQL代码注入到应用程序中,导致敏感信息泄露、数据损坏或删除及系统瘫痪,给企业和个人带来巨大损失。
网络安全威胁——零日攻击
热门推荐
聚集机器学习、信息安全
10-08 1万+
零日漏洞也称零时差漏洞,通常是指还没有补丁的安全漏洞。由于零日漏洞的严重级别通常较高,所以零日攻击往往也具有很大的破坏性。目前,任何安全产品或解决方案都不能完全防御住零日攻击
【网络安全】——网络的攻击概述
lingxw的博客
07-31 4025
网络安全威胁是指网络环境中存在的各种可能导致系统或数据受损、泄露、非法访问或被滥用的风险因素。以下是一些常见的网络安全威胁:病毒和恶意软件:这些是设计用来感染和破坏计算机系统的程序,可以通过电子邮件附件、下载文件或访问感染的网站传播。垃圾邮件和钓鱼:垃圾邮件是指未经请求的大量广告或欺诈邮件,钓鱼则是骗取个人敏感信息的一种方式,通常通过伪装成合法的机构或网站来实施。
4-wireshark网络安全分析——TCP SYN Flooding攻击
网络安全
03-15 4030
关于tcp协议的参考链接: 16-tcp首部分析一
软件设计师——信息安全知识
qwjy的博客
09-11 5155
单向散列函数(单向Hash函数)、固定长度的散列值。Hash(哈希)函数提供了这样一种计算过程:输入一个长度不固定的字符串,返回一串固定长度的字符串,又称 Hash 值。单向 Hash 函数用于产生信息摘要。Hash 函数主要可以解决以下两个问题:在某一特定的时间内,无法查找经 Hash 操作后生成特定 Hash 值的原报文;也无法查找两个经 Hash 操作后生成相同 Hash 值的不同报文。这样,在数字签名中就可以解决验证签名和用户身份验证、不可抵赖性的问题。
硬件安全技术——芯片安全设计技术1
用心记录每天的学习,提升自己,虽然有的很基础但真的很重要!
05-29 3550
芯片安全设计技术一、常见的对称算法二、常见的使用模式与场景三、常见的抗攻击设计四、对称密码算法实现 一、常见的对称算法 对称密码算法:加密和解密的秘钥是一样的 加密过程:X是明文,K是秘钥,Y是密文 解密过程:Y是密文,K是秘钥,X是明文 常见的对称算法 AES (Advanced Encryption Standard) DES/3DES (Data Encryption Standard) SM4 ZUC Chacha20 按照字节来划分,前三种AES,DES, SM4可分为一类,均按照8、1
汽车网络安全之——ECU攻击
Pan_w_w的博客
05-11 3767
概述 从汽车电子电器架构的角度来看,汽车就是由ECU(点)和总线(线)构成的一个结构体(对于无线传感,车内部很少用,把网关、T-BOX等也统称为ECU)。对汽车进行攻击,其实际就是针对不同的ECU进行攻击。ECU的攻击向量有哪些,如何攻击一个ECU,对于hacker来讲是最感兴趣的话题,对整车防御来讲也是首先要搞清楚的事情。 ECU结构 首先从几个不同角度来看看ECU是什么样子的 1.物理 拆开一个ECU,最直观来看,一个ECU可以分为两部分: 芯片/PCB + 接口; 芯片/PCB是被封装在金属外壳(电磁
网络安全原理与实践学习笔记——设计DMZ
sapphire7的博客
09-03 3593
虽然不同网络设备中可用的安全特性在抵御网络攻击中起到了重要的作用,但事实上对网络攻击做好的防御方法之一是网络的安全拓扑设计。关注安全的网络拓扑设计对阻止网络攻击大有帮助,并且能使不同设备的安全特性得到最有效的使用。 在现代网络安全设计中用到的最关键的思想之一是用区去隔离开网络上的不同区域。置于不同区的设备具有不同的安全需求,而区基于这些需求提供保护。
网络攻击3——DoS/DDoS攻击与缓冲区溢出攻击
m0_49864110的博客
12-18 1631
拒绝服务攻击的方式攻击网络带宽资源没有攻击服务器本身,只是将访问服务器的网络路径进行阻塞攻击系统资源占用服务器的系统资源(攻击CPU、内存等)攻击应用资源应用程序本身性能有限制(因为代码的原因),一直占用应用程序资源拒绝服务攻击的防御限制每个人的流量、限制单个IP地址在单位时间内与服务器建立连接的会话数可以通过流量清洗服务来预防拒绝服务攻击(购买运营商的流量清洗服务(按照流量大小进行收费)、采购专门的流量清洗服务)通过代理设备来预防拒绝服务攻击举例。
工业互联网安全新思路——工业私有协议设计.pdf
07-15
技术漏洞威胁主要表现为,由于协议设计初期只关注功能实现的可靠性,未充分考虑安全性,导致攻击者可以轻易捕获并利用数据包。以Modbus协议为例,其开放式特性使其容易受到攻击攻击威胁则包括中间人攻击和拒绝服务...
可信安全网络 —— 安全左移之DDoS对抗.pdf
09-18
1. DDoS攻击的本质与发展 DDoS(分布式拒绝服务)攻击是指通过分布式、大量的请求发送至目标服务器,造成目标服务器无法处理正常请求,从而导致服务中断的网络攻击手段。它起源于互联网协议在设计初期未充分考虑安全...
共生网络——异构网络安全高效互联的体系结构与机理.docx
05-29
### 共生网络:异构网络安全高效互联的体系结构与机理 #### 一、引言及背景 共生网络的概念提出旨在解决当前多种网络体制并存环境下存在的互联问题。随着通信技术的发展,出现了多种网络形态,包括但不限于车联网...
藏经阁-2016阿里安全峰会—— 网络安全情报在企业侧的落地与实践.pdf
08-28
"藏经阁-2016阿里安全峰会——网络安全情报在企业侧的落地与实践" 本文档总结了2016阿里安全峰会的主要内容,讨论了网络安全情报在企业侧的落地与实践。以下是相关的知识点: 1. 网络安全情报的定义:网络安全情报...
信息安全 安全运营体系建设_——_理论与实践 - 图论.zip
11-06
《信息安全安全运营体系建设——理论与实践》 在信息技术领域,信息安全是不可或缺的一环,它关乎组织和个人的数据安全,甚至整个社会的稳定。本资料主要探讨了如何构建一个完善的安全运营体系,结合理论与实践...
CTFHUB技能树之HTTP协议——响应包源代码
最新发布
weixin_73049307的博客
10-13 453
点击“开始”没有抓取到报文,先看看网页源代码是什么情况。居然直接给出flag了,不知道这题的意义何在。是个贪吃蛇小游戏,看不出来有什么特别的地方。
【OCPP】ocpp1.6协议第5.19 Update Firmware章节的介绍及翻译
qq_53871375的博客
10-11 348
在OCPP 1.6协议中,第5.19章节讨论了“Update Firmware”(更新固件)的功能。这一章节主要描述了如何通过充电站管理系统(CSMS)远程更新充电站的固件,以确保充电站能够支持最新的功能和修复已知的漏洞。该章节描述了通过远程操作更新充电站固件的流程。固件更新是维护充电站软件的一个关键部分,可以提高系统的稳定性、增加功能或修复安全问题。
【Redis安全基线】- 在生产环境中需要注意的安全事项
XuanRan的博客
10-11 1038
Redis是一个高性能的键值存储数据库,但在实际使用中,如果没有适当的安全措施,可能会面临严重的安全风险。本文将介绍几种加强Redis安全性的最佳实践,包括防止弱口令、限制危险命令、修改默认端口等。
为什么云服务器加了安全组端口还是无法访问?
YOKEhn的博客
10-11 549
1.1云服务提供商的防火墙设置:有些云服务提供商在安全组之外还设置了额外的防火墙规则,这些规则可能需要单独配置。通过逐一排查以上可能的原因并采取相应的解决措施,可以有效解决云服务器加了安全组端口仍然无法访问的问题。解决方法:检查云服务提供商的控制台,确保所有相关的防火墙规则都已正确配置并放行相应端口。解决方法:重新检查并配置安全组规则,确保入站规则中放行了目标端口。2.安全组配置错误:安全组规则配置可能有误,导致端口未正确开放。解决方法:查找并停止占用端口的进程,或更改目标服务的端口。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

大梁来了

千山万水总是情,打赏一块行不行

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值