多次握手登录

已于 2022-08-30 20:53:19 修改
阅读量701 收藏 1
点赞数 1
分类专栏: C# DotNetCore 文章标签: 前端 python 开发语言
于 2022-08-30 20:13:27 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhanglianzhu_91/article/details/126611035
版权

社会险恶啊,现在做系统做个简单的用户密码判断然后登录已经不好使了。安保的搞个爬虫抓包登录请求就可以让爬虫用登录持有会话然后爬行网站。然后就各种提,我这用个Cache库,都是对象存储的,如果被抓到一个表报错是SQL就提你系统有SQL注入漏洞,真是有理说不清。先不说我这是Cache对象存储。就是关系库我用SQL参数了啊。被你抓个SQL日志就SQL注入风险了,真是无语。

安保的得力工具是爬虫。拿个爬虫去现场,一个什么不懂的小白都能提一堆你不得不改的问题来。爬虫爬行整个网站还得抓一下登录的包,然后用登录提交的东西模拟登录保持会话爬行。所以首先把门得守住,让爬虫不能轻易抓取登录时候请求模拟登录,简单的一次性提交登录肯定是不行了。理论上把登录的口子守住了系统起码安全一半。

所以改进登录为多次握手登录,大概以下步骤。
1.js提交验证用户密码时候顺带生成一个时间戳和他的哈希值提交给后台,并且提交用RSA加密(服务端给JS加密数据用一对秘钥,JS给服务端加密数据用一对秘钥)。
2.服务端收到数据后用服务端持有的RSA秘钥界面JS数据。然后哈希校验时间戳。对非法时间戳直接拉黑IP一天访问。
3.服务端如果校验时间戳通过且验证用户密码通过。那么把JS提交时间戳加上服务器时间形成累计的时间戳,再哈希得到验证值。然后把服务端组装的新时间戳串用JS提交的时间戳哈希值当做密码DES加密。再把加密数据用服务端RSA秘钥加密返回给JS端。
4.JS端登录时候需要把服务端返回的时间戳和登录新构造的时间戳提交到后台。
5.后台解密服务端时间戳,先验证里面第一次验证用户密码时候的时间戳合法性。然后再验证服务端时间戳整体合法性。然后再计算当前时间和服务端时间戳时间差不能大于三分钟。
6.然后再验证JS第二次时间戳和第一次时间戳之差不能大于3分钟。
7.验证登录后再登录构造会话,构造会话成功后马上把当前用户最后时间戳存入会话。如果登录提交的时间戳已经使用过就不给登录。防止爬虫跟随登录页抓包潜入进来(相同的服务端时间戳只让登录一次)。

通过上面多次握手和多种加密结合防止爬虫轻易抓包模拟登录。

JS得到时间戳方法,结合MD5和RSA加密:

//得到时间戳
function GetTimeSpan() {
    var myDate = new Date();
    var hours = myDate.getHours();
    if (hours < 10) {
        hours = "0" + hours;
    }
    var minutes = myDate.getMinutes();
    if (minutes < 10) {
        minutes = "0" + minutes;
    }
    var seconds = myDate.getSeconds();
    if (seconds < 10) {
        seconds = "0" + seconds;
    }
    var timeStr = GetCurentDate() + " " + hours + ":" + minutes + ":" + seconds;
    var random = Math.random();
    var transStr = hex_md5(timeStr + "_" + random).toUpperCase();
    return RsaEncrypt(timeStr + "_" + random+ "^" + transStr );
}

验证密码提交第一次时间戳
在这里插入图片描述

校验片段示例(实际会加拉黑操作):

 //时间戳
string TimeSpan = Helper.ValidParam(LIS.Core.MultiPlatform.LISContext.GetRequest(Request, "TimeSpan"), "");
//解密时间戳数据
TimeSpan = LIS.Core.Util.RsaUtil.RsaDecrypt(TimeSpan);
//验证时间戳
string[] timeSpanArr = TimeSpan.Split('^');
if (timeSpanArr.Length != 2)
{
    RetResultMsg errRet = new RetResultMsg();
    errRet.Code = -1;
    errRet.IsOk = false;
    errRet.Message = "非法的时间戳数据!";
    return Helper.Object2Json(errRet);
}
else
{
    string timeSource = timeSpanArr[0];
    timeSource = LIS.Util.Md5Util.getMd5Hash(timeSource);
    if (timeSpanArr[1] != timeSource)
    {
        RetResultMsg errRet = new RetResultMsg();
        errRet.Code = -1;
        errRet.IsOk = false;
        errRet.Message = "非法的时间戳数据!";
        return Helper.Object2Json(errRet);
    }
}
//拼接服务器时间做服务器时间戳
string RetTimeSpanStr = TimeSpan + "^" + DateTime.Now.ToString("yyyy-MM-dd HH:mm:ss");
//得到时间戳验证哈希
string RetTimeSpanStrHash = LIS.Util.Md5Util.getMd5Hash(RetTimeSpanStr);
//返回的时间戳。用JS的时间戳哈希值当密码加密
string RetTimeSpan = LIS.Common.Login.DesUtilCommon.EncryptDES(RetTimeSpanStr + "@" + RetTimeSpanStrHash, timeSpanArr[1]);
//二次加密
RetTimeSpan = LIS.Common.Login.DesUtilCommon.EncryptDES(RetTimeSpan + "@" + timeSpanArr[1], "testzz");
RetResultMsg ret = LgService.CheckUser(userCode, password, Session);
//返回时间戳
ret.TimeSpan = RetTimeSpan;
//返回之前再RSA加密

登录时候把第二次JS时间戳和服务端时间戳抛给后台:
在这里插入图片描述

登录时候验证片段,从第一段哈希开始每段都得验证符合,并且在时间范围才放行(时间会加拉黑一天操作)。

//JS时间戳
string JSTimeSpan = Helper.ValidParam(LIS.Core.MultiPlatform.LISContext.GetRequest(Request, "JSTimeSpan"), "");
//解密时间戳数据
JSTimeSpan = LIS.Core.Util.RsaUtil.RsaDecrypt(JSTimeSpan);
//验证时间戳
string[] jsTimeSpanArr = JSTimeSpan.Split('^');
//JS第一次时间戳时间
string JSOneTime = "";
//JS第二次时间戳时间
string JSTowTime = "";
if (jsTimeSpanArr.Length != 2)
{
    RetResultMsg errRet = new RetResultMsg();
    errRet.Code = -1;
    errRet.IsOk = false;
    errRet.Message = "非法的时间戳数据!";
    return Helper.Object2Json(errRet);
}
else
{
    string timeSource = jsTimeSpanArr[0];
    timeSource = LIS.Util.Md5Util.getMd5Hash(timeSource);
    if (jsTimeSpanArr[1] != timeSource)
    {
        RetResultMsg errRet = new RetResultMsg();
        errRet.Code = -1;
        errRet.IsOk = false;
        errRet.Message = "非法的时间戳数据!";
        return Helper.Object2Json(errRet);
    }
    JSTowTime = jsTimeSpanArr[0].Split('_')[0];
}

string LISTimeSpan = Helper.ValidParam(LIS.Core.MultiPlatform.LISContext.GetRequest(Request, "LISTimeSpan"), "");
LISTimeSpan = LIS.Core.Util.RsaUtil.RsaDecrypt(LISTimeSpan);
//一次解密
LISTimeSpan = LIS.Common.Login.DesUtilCommon.DecryptDES(LISTimeSpan, "testzz");
string[] timeSpanArr = LISTimeSpan.Split('@');
//二次解密
LISTimeSpan = LIS.Common.Login.DesUtilCommon.DecryptDES(timeSpanArr[0], timeSpanArr[1]);
timeSpanArr = LISTimeSpan.Split('@');
if (timeSpanArr.Length != 2)
{
    RetResultMsg errRet = new RetResultMsg();
    errRet.Code = -1;
    errRet.IsOk = false;
    errRet.Message = "非法的时间戳数据!";
    return Helper.Object2Json(errRet);
}
else
{
    string timeSource = timeSpanArr[0];
    string timeSourceSpan = LIS.Util.Md5Util.getMd5Hash(timeSource);
    if (timeSpanArr[1] != timeSourceSpan)
    {
        RetResultMsg errRet = new RetResultMsg();
        errRet.Code = -1;
        errRet.IsOk = false;
        errRet.Message = "非法的时间戳数据!";
        return Helper.Object2Json(errRet);
    }
    string[] timeArr = timeSource.Split('^');
    if (timeArr.Length != 3)
    {
        RetResultMsg errRet = new RetResultMsg();
        errRet.Code = -1;
        errRet.IsOk = false;
        errRet.Message = "非法的服务时间戳数据!";
        return Helper.Object2Json(errRet);
    }
    else
    {
        string timeSourceSpanJS = LIS.Util.Md5Util.getMd5Hash(timeArr[0]);
        if (timeSourceSpanJS != timeArr[1])
        {
            RetResultMsg errRet = new RetResultMsg();
            errRet.Code = -1;
            errRet.IsOk = false;
            errRet.Message = "非法的JS时间戳数据!";
            return Helper.Object2Json(errRet);
        }
        JSOneTime = timeArr[0].Split('_')[0];
        string timeStr = timeArr[2];
        DateTime spanTime = Convert.ToDateTime(timeStr);
        if ((DateTime.Now - spanTime).TotalMinutes > 3)
        {
            RetResultMsg errRet = new RetResultMsg();
            errRet.Code = -1;
            errRet.IsOk = false;
            errRet.Message = "时间戳已过期,请重新校验!";
            return Helper.Object2Json(errRet);
        }
        //比较两次JS时间戳的时间差
        DateTime JSOneSpanTime = Convert.ToDateTime(JSOneTime);
        DateTime JSTowSpanTime = Convert.ToDateTime(JSTowTime);
        if ((JSTowSpanTime - JSOneSpanTime).TotalMinutes > 3)
        {
            RetResultMsg errRet = new RetResultMsg();
            errRet.Code = -1;
            errRet.IsOk = false;
            errRet.Message = "JS时间戳已过期,请重新校验!";
            return Helper.Object2Json(errRet);
        }
    }
}


//上一个时间戳
string PreLISTimeSpan = LIS.Core.MultiPlatform.LISContext.GetSession<string>(Session, "TimeSpan_" + UserLogin.UserDR);
//防止爬虫跟随进来
if (PreLISTimeSpan == LISTimeSpan)
{
    return Helper.Error("爬虫恶意的跟随登录!");
}
RetResultMsg ret = LgService.UserLogin(UserLogin.SysID, UserLogin, Session);
//登录成功
if (ret.IsOk)
{
    LIS.Core.MultiPlatform.LISContext.SetSession<string>(Session, "TimeSpan_" + UserLogin.UserDR, LISTimeSpan);
}

通过多次交互,来回累计哈希和加密解密来防止爬虫简单抓包登录。这样爬虫得把每步交互搞清除,并且实现所有JS交互部分逻辑才能爬行登录。并且错误尝试还会受到拉黑一天的处理。从而包含网站不被轻易爬取。

反正就是一条,交互越复杂越好,频繁的累计哈希戳,任意一步构造数据不符合验证就拉黑。

交互示例:
验证密码提交
在这里插入图片描述
验证密码返回
在这里插入图片描述
登录提交,一个服务时间戳只让登进去一个会话
在这里插入图片描述
一样的串跟随提交是不会给他构造会话的
在这里插入图片描述

想靠抓包重复使用登录连接也是不可以的,有时效
在这里插入图片描述

伪造提交串也是有严格流程格式限制的
在这里插入图片描述

小乌鱼
关注
专栏目录
面试题目:TCP二次握手,三次握手,四次握手
ZYXia888的博客
10-10 1352
1. 三次握手 三次握手(Three-way Handshake)其实就是指建立一个TCP连接时,需要客户端和服务器总共发送3个包。进行三次握手的主要作用就是为了确认双方的接收能力和发送能力是否正常、指定自己的初始化序列号为后面的可靠性传送做准备。实质上其实就是连接服务器指定端口,建立TCP连接,并同步连接双方的序列号和确认号,交换TCP窗口大小信息。 刚开始客户端处于 Closed 的状态...
TCP 为什么三次握手而不是两次握手(正解版)
热门推荐
萧萧的专栏
09-19 14万+
TCP 采用三次握手的原因其实非常简单, 远没有大部分博客所描述的那样云山雾绕。
TCP/IP 多次握手
happylzs2008的专栏
05-13 158
从TCP三次握手说起——浅析TCP协议中的疑难杂症(真心不错) https://blog.csdn.net/scdxmoe/article/details/78663232 从TCP三次握手说起–浅析TCP协议中的疑难杂症(2) https://blog.csdn.net/tengxy_cloud/article/details/52329165 不为人知的网络编程(一):浅析TCP...
TCP/IP三次握手、四次握手(与谢希仁的书上差不多)
竹林听雨
05-05 1218
建立链接: 在TCP/IP协议中,TCP协议提供可靠的连接服务,采用三次握手建立一个连接。  (1)第一次握手:建立连接时,客户端A发送SYN包(SYN=j)到服务器B,并进入SYN_SEND状态,等待服务器B确认。  (2)第二次握手:服务器B收到SYN包,必须确认客户A的SYN(ACK=j+1),同时自己也发送一个SYN包(SYN=k),          即SYN+ACK包,
网络协议(二)--TCP传输控制协议(二)什么是三次握手、什么是四次握手
Misszhoudandan的博客
07-06 5252
在前面我们练习了几个基于TCP协议的网络程序 也对UDP协议有了简单认识:认识UDP协议 TCP协议是可靠的传输协议,当然也就要付出一定代价来实现可靠性,协议段格式也就更复杂,对数据的处理也就更复杂。 一、TCP协议段格式 相比于UDP协议,TCP协议首部长度是变长的(20个字节的基本信息+选项部分) 报文首部中各个部分的含义: 源端口号和目的端口号 表示数据来自哪个进程...
超简单却能够深入理解 TCP 为什么是三次握手
语雀同名:犬豪 yuque.com/qhao
07-06 203
核心思想 TCP作为一种可靠传输控制协议,其核心思想:既要保证数据可靠传输,又要提高传输的效率,而用三次恰恰可以满足以上两方面的需求! TCP可靠传输的精髓:TCP连接的一方A,由操作系统动态随机选取一个32位长的序列号(Initial Sequence Number),假设A的初始序列号为1000,以该序列号为原点,对自己将要发送的每个字节的数据进行编号,1001,1002,1003…,并把自己的初始序列号ISN告诉B,让B有一个思想准备,什么样编号的数据是合法的,什么编号是非法的,比如编号900就是非法
TCP恋爱史 三次握手和四次分手
10-01
TCP(Transmission Control Protocol)是一种面向连接的、可靠的传输层协议,它通过三次握手建立连接,四次挥手来终止连接。这个过程就像一段浪漫的恋爱史,让我们深入了解一下TCP的“三次握手”和“四次分手”。 *...
tcp三次握手
03-16
### TCP三次握手详解 #### 一、TCP协议概述 TCP(Transmission Control Protocol)是一种面向连接的、可靠的、基于字节流的传输层通信协议。它通过三次握手建立连接,确保了两端之间的通信能够准确无误地进行。 #...
TCP/IP协议中三次握手四次挥手的原理及流程分析
08-28
TCP/IP协议中三次握手四次挥手的原理及流程分析 TCP/IP协议中三次握手四次挥手的原理及流程分析是计算机网络中非常重要的概念。它主要介绍了TCP/IP协议中三次握手四次挥手的原理及流程分析,具有一定参考价值。 ...
TCP为什么需要进行三次握手深入解析
10-01
理论上,如果要达到同样的目标,可能需要更多次握手交互,但那样会消耗更多的系统资源和带宽资源。 三次握手的原理可以用现实生活中两个人进行语言沟通的例子来类比: 第一次对话可以比作甲尝试和乙打招呼,如果...
为什么TCP需要三次握手和四次挥手
liangyan4428的博客
06-10 942
TCP协议是一种面向连接的、可靠的、基于字节流的传输层通信协议,采用全双工通信。 那为什么需要三次握手呢?请看如下的过程: A向B发起建立连接请求:A——>B; B收到A的发送信号,并且向A发送确认信息:B——>A; A收到B的确认信号,并向B发送确认信号:A——>B。 三次握手大概就是这么个过程。 通过第一次握手,B知道A能够发送数据。通过第二次握手,A知道B能发送数据。结合第一次握手和第二次握手,A知道B能接收数据。结合第三次握手,B知道A能够接收数据。 至此,完成了握手过程
百度登录不上去,提示未知错误,原来是日期错误
阿非编程之道
11-10 525
最近遇到一个问题,百度主页登录提示未知错误,清Cookie等都无效,后来换了个Chrome浏览器,提示证书有问题,因为百度登录用的是https,偶然发现右下角的时间是0:10分,点开一看是2130年1月1日,终于明白是怎么回事了,证书的时间不会是2130年的,到Internet时间同步一下,就搞定了。...
阿里云数字签名时遇到时间戳错误(InvalidTimeStamp.Expired)怎么办
ieeee.blog.csdn.net
07-28 9192
摘要:有的同学对数字签名的认知还不是那么到位,所以签名时的每一个参数具体意义还不了解的情况下就开始签名。这种情况下,还会导致很多错误,其中常见的错误是时间戳错误(InvalidTimeStamp.Expired),本文教给您解决方法。
TCP三次握手(详解)
qq_48508278的博客
01-19 8万+
一:引出 客户端与服务器之间数据的发送和返回的过程当中需要创建一个叫TCP connection的东西;由于TCP不存在连接的概念,只存在请求和响应,请求和响应都是数据包,它们之间都是经过由TCP创建的一个从客户端发起,服务器接收的类似连接的通道,这个连接可以一直保持,http请求是在这个连接的基础上发送的;在一个TCP的连接上是可以发送多个http请求的 二:TCP的报文格式 1:TCP在传输层和网络层数据传输的过程 TCP协议是在传输层端到端的传输信息,既然说到传输层协议,那么就讲一下传输层协议在数据传
服务器出现很多非法尝试登陆时间
kitt15的博客
04-17 5193
最近服务器经常被挂马,删除了又重新新建了,设置了一些权限都没法阻止,即使安装了安全狗的无法阻止。至今仍未发现问题根源。在解决问题的过程中黯然发现出现了很多非法尝试登陆,即使设置了“账户锁定策略”以及安全狗防止暴力破解一样无法解决非法尝试登陆依然根据每分钟6次的规律一直尝试,我立马改了用户名跟密码,但并不阻止这问题。问题如图:
如何将非法日期改成正常日期
Bruce_yin的专栏
08-10 392
1. 转换历程 DATA:LV_DATETYPESY-DATUM, LV_C(8). LV_C=SOURCE_FIELDS-BUDAT. LV_DATE=LV_C. IFLV_DATE=0. RESULT='19001231'. ELSE. RESULT=SOURCE_FIELDS-BUDAT. ENDIF. 方法2 引用FM CALL FUNCTION 'DATE_CHECK_PLAUSIBILITY' EXPORTING date = v_da...
防止用户非法登录又一法
Zero'Coffee
05-30 2326
由于用户名及密码都是由a-z,A-Z,0-9这几字符组成, 我参考了一下正则表达式的算法,故有已下想法: 把用户输入的用户名及密码判断一下,看是否是这几个字符组成, 如果是,进行登录验证 否则提示有非法字符 代码如下: //login.jsp boolean regex(String str){ java.util.regex.Pattern p=null; //正则表达式 java.util.
用户登录错误次数限制、并实现:错误登录次数、登录错误间隔时间、封禁时间,参数的可配
qq_38493490的博客
05-23 2万+
只供自己查看....我这属于代码乱贴 1、可配参数说明: 错误登录次数:用户可“连续”输入错误的次数; 登录错误间隔时间:第一次错误~最后一次错误的间隔时间(此处用分钟做计算); 封禁时间:登录错误次数达到上限后,禁止用户登录的时长(此处用分钟做计算); 2、表设计: h_login_miss:记录登录次数和状态-主表 h_login_log:记录登录信息-附表-主要记录...
TCP三次握手详解:端口与插口概念
"TCP三次握手分析" 在TCP/IP协议族中,运输层是网络层与应用层之间的关键层,它负责提供可靠的数据传输服务。TCP(Transmission Control Protocol)和UDP(User Datagram Protocol)是运输层的两个主要协议,分别...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小乌鱼

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值