[记录]实训课总结2

三、身份认证和口令加密

身份认证是信息安全中最前沿的一道防线，其他的安全服务都要依赖于它。一旦身份认证系统被攻破，那么系统的所有安全措施将形同虚设。身份认证指的是对实体身份的证实，用以识别合法或者非法的实体，阻止非法实体假冒合法实体窃取或者访问网络资源。

静态口令

基于口令的认证方式是较常用的一种技术。用户首先在系统中注册自己的用户名和登录口令。系统将用户名和口令存储在内部数据库中，这个口令一般是长期有效的，因此也称为静态口令。基于静态口令的身份认证技术因其简单和低成本而得到了广泛使用。但这种方式存在严重的安全问题, 安全性仅依赖于口令，口令一旦泄露，用户就可能被假冒。例如，登陆密码。

动态口令

为克服静态口令带来的种种安全隐患，动态口令认证逐渐成为口令认证的主流技术。用户每次登录系统的口令都不一样，具有“一次一密”的特点，有效保证了用户身份的安全性。在银行支付、网上银行转账、交易时一般采用静态口令+动态口令组合的方式进行认证，这种双重保障的方式可以大大提高使用的安全性。例如，手机验证码。

图形验证

图形验证码主要用于区分用户是计算机还是人的全自动程序。基于CAPTCHA(全自动区分计算机和人类的图灵测试)设计。图形验证码利用程序生成只有人类才能解答的评判问题，是现在很多网站必备的一种验证方式。

主要作用：防止暴力破解密码、刷票、论坛灌水，防止恶意注册大量无效用户等。

生物验证

生物验证就是基于个人独特的生理或行为特征进行自身身份验证的技术，具有普遍性，不易丢失，不易伪造，随时使用，等特点。由于社会的需求，生物验证发展的越来越快，目前具有良好的研究前景的生物认证技术又虹膜验证，静脉验证，掌纹验证。

Role-Based Access Control（基于角色的访问控制）

  把许可权(Permissions)与角色(Role)或用户组联系在一起，用户通过充当合适的角色而获得该角色的许可权。

RBAC是一种非自主型的访问控制模式，在大多数信息管理系统中，角色由系统管理员创建、删除、修改和定义权利。用户被分配为某个角色后，就被赋予了该角色所拥有的权利与责任，这种授权方式是强制性的，用户只能被动地接受，不能自主地决定为角色增加或减少权利，也不能把自己角色的权利转授给其他用户。

四、Web漏洞

DVWA（Damn Vulnerable Web Application）是randomstorm的一个开源项目。一个用来进行安全脆弱性鉴定的PHP/MySQL Web应用，旨在为安全专业人员测试自己的专业技能和工具提供合法的环境，帮助web开发者更好的理解web应用安全防范的过程。

DVWA共有十个模块，分别是:

1.Brute Force（密码破解）

2.Command Injection（命令行注入）

3.CSRF（跨站请求伪造）

4.File Inclusion（文件包含）

5.File Upload（文件上传）

6.Insecure CAPTCHA （不安全的验证码）

7.SQL Injection（SQL注入）

8.SQL Injection（Blind）（SQL盲注）

9.XSS（Reflected）（反射型跨站脚本）

10.XSS（Stored）（存储型跨站脚本）

五、SQL注入

由于程序中对用户输入检查不严格，用户可利用应用程序根据提交的数据动态生成SQL命令的特性，在URL、表单域，或者其他的输入域中输入自己的SQL命令，改变SQL命令的操作，将被修改的SQL命令注入到后端数据库引擎执行。

其成因可以归结为以下两个原因：      

(1)程序编写者在处理应用程序和数据库交互时，使用字符串拼接的方式构造SQL语句。  

(2)未对用户可控参数进行足够的过滤便将参数内容拼接进入到SQL语句中。  

最终，用户提交的参数数据未做充分检查过滤即被代入到SQL命令中，改变了原有SQL命令的“语义”，且成功被数据库执行。

1.内联式

 

 终止式

终止式SQL注入：    

攻击者注入一段包含注释符的SQL语句，将原来的语句的一部分注释，注释掉的部分语句不会被执行。