防Web攻擊的登陸窗口程序設(shè)計(jì)

元昊

摘要

隨著網(wǎng)絡(luò)的逐步發(fā)展，網(wǎng)絡(luò)使用的安全性越來(lái)越被大家所關(guān)注，網(wǎng)絡(luò)黑客以及病毒的存在讓許多企業(yè)、政府部門(mén)甚至國(guó)家深受其害，造成了巨大的經(jīng)濟(jì)損失。如何減少網(wǎng)絡(luò)攻擊，增強(qiáng)安全性是研究人員需要展開(kāi)研究的重點(diǎn)。登錄系統(tǒng)的首要入口是登錄窗口，這是黑客主要的攻擊對(duì)象。因此，需要有一個(gè)防攻擊的登錄窗口，只有登錄窗口的安全得到保障，才能保證整個(gè)系統(tǒng)的正常運(yùn)行本文通過(guò)多個(gè)方面對(duì)登錄窗口的防攻擊設(shè)計(jì)進(jìn)行了合理地探究。

【關(guān)鍵詞】網(wǎng)絡(luò)安全 登錄窗口 Web攻擊

現(xiàn)階段，網(wǎng)絡(luò)系統(tǒng)Web被直接部署于網(wǎng)絡(luò)之上，登錄網(wǎng)絡(luò)就可以訪問(wèn)，具有一定的公開(kāi)性，導(dǎo)致網(wǎng)絡(luò)安全成為很多人擔(dān)心的問(wèn)題。目前，存在的系統(tǒng)絕大部分都涉及到登錄系統(tǒng)，攻擊者通過(guò)對(duì)登錄窗口攻擊的侵入系統(tǒng)進(jìn)行破壞，以達(dá)到自己的目的。本文通過(guò)程序設(shè)計(jì)的角度對(duì)防Web攻擊登錄窗口進(jìn)行探究，對(duì)于其中等需要極高安全性要求的網(wǎng)絡(luò)，除了系統(tǒng)本身所提供的Web外，還需要外界的硬件來(lái)保障系統(tǒng)的安全性。

1 關(guān)于Web安全性的研究

1.1 通過(guò)外界硬件設(shè)備提高安全性

對(duì)于相關(guān)平臺(tái)模塊的用戶在進(jìn)行登錄時(shí)，將外界硬件設(shè)備用相關(guān)的用戶信息以動(dòng)態(tài)口令等技術(shù)來(lái)保證登錄用戶信息的真實(shí)有效，但只適合用于對(duì)安全性要求極高的系統(tǒng)，對(duì)于普通的系統(tǒng)而言，讓使用者使用時(shí)配置相關(guān)的硬件是十分不現(xiàn)實(shí)的。

1.2 通過(guò)軟件設(shè)計(jì)提高安全性

將算法作為基礎(chǔ)，通過(guò)混合性加密來(lái)實(shí)現(xiàn)安全性的提高。在安全范圍內(nèi)減少登錄次數(shù)，做到登陸一次就可以處理復(fù)雜的業(yè)務(wù)。

1.3 程序與數(shù)據(jù)庫(kù)設(shè)置相互配合

通過(guò)將特殊字符替換的形式，將數(shù)據(jù)庫(kù)賬戶權(quán)限進(jìn)行合理、有效的分配，保證其合法性，對(duì)于敏感的數(shù)據(jù)，可以通過(guò)錯(cuò)誤處理的方式來(lái)保證安全性。

2 程序的設(shè)計(jì)

登錄窗口設(shè)計(jì)要盡量做到全面，攻擊者不會(huì)用所有的方法進(jìn)行試探，僅通過(guò)部分重要的要素進(jìn)行攻擊。在下文列舉了幾種常見(jiàn)的攻擊方式以及與之相對(duì)應(yīng)的處理方法。

2.1 防SQL注入進(jìn)行系統(tǒng)攻擊

在現(xiàn)有的登錄程序中大部分都是直接填寫(xiě)SQL語(yǔ)句，這種登錄方式給了攻擊者可乘之機(jī)，攻擊者只需要在用戶名、密碼框內(nèi)隨意填寫(xiě)，在驗(yàn)證碼處填寫(xiě)特定的語(yǔ)句，驗(yàn)證即可通過(guò)。攻擊者就可以隨意侵入系統(tǒng)，并窺探使用者的信息，并且，一般SQL注入不會(huì)引起防火墻的攔截，攻擊者更加容易對(duì)系統(tǒng)正常使用者進(jìn)行攻擊。與此同時(shí)，預(yù)防這種系統(tǒng)攻擊的方式有以下幾點(diǎn)：更換驗(yàn)證方式;軟件開(kāi)發(fā)者提高警惕性，對(duì)常見(jiàn)的SQL植入有一定的防范警惕性;過(guò)濾特殊符號(hào);綁定變量，使用預(yù)編譯語(yǔ)句等。

2.2 控制輸入密碼的次數(shù)

隨著網(wǎng)絡(luò)的發(fā)展，黑客使用配置比較高的電腦進(jìn)行破解密碼，運(yùn)行速度非常快，在很短的時(shí)間內(nèi)就可以破譯出密碼，但是嘗試的次數(shù)較多，所以控制輸入密碼的次數(shù)就顯得尤為重要，如果將輸入密碼的次數(shù)控制在5次以內(nèi)，便可以大大減少被破解的幾率，而且不會(huì)影響到正常使用用戶的登錄。

2.3 限制同一IP重復(fù)申請(qǐng)賬號(hào)

同一IP多次進(jìn)行申請(qǐng)也是一種攻擊形式，當(dāng)同一IP申請(qǐng)的次數(shù)過(guò)多時(shí)，網(wǎng)絡(luò)后臺(tái)應(yīng)限制該用戶再進(jìn)行申請(qǐng)。同時(shí)，瀏覽器應(yīng)該記錄下該用戶申請(qǐng)注冊(cè)的有關(guān)信息，以及后臺(tái)統(tǒng)計(jì)計(jì)算申請(qǐng)的次數(shù)。

2.4 其它操作

包括判斷用戶在線與否，false在線才能進(jìn)行下一步注冊(cè);核實(shí)身份等有效信息，判斷是否已經(jīng)在幾率名單內(nèi);重要信息需要在登錄后寫(xiě)入注冊(cè)表;對(duì)使用注冊(cè)者使用鍵盤(pán)回車(chē)鍵進(jìn)行控制;提供多種語(yǔ)言服務(wù)，為外籍人員注冊(cè)提供方便;添加不同種類(lèi)的驗(yàn)證碼，在登錄時(shí)進(jìn)行驗(yàn)證;客戶端和服務(wù)器進(jìn)行雙驗(yàn)證，防止攻擊者黑客控制客戶端程序;OS注入攻擊，當(dāng)使用者使用咨詢表單的發(fā)送時(shí)，該功能可將用戶的咨詢郵件按己填寫(xiě)的對(duì)方郵箱地址發(fā)送過(guò)去，給攻擊者提供攻擊的目標(biāo);跨站點(diǎn)請(qǐng)求偽造攻擊，跨站點(diǎn)請(qǐng)求偽造攻擊是攻擊榜排名的第八名，它是指攻擊者登錄了普通用戶的賬號(hào)，訪問(wèn)有惡意代碼的網(wǎng)站，同時(shí)控制惡意代碼對(duì)其它網(wǎng)站進(jìn)行攻擊，利用受信任的身份請(qǐng)求一些平時(shí)不允許的操作，這種攻擊在攻擊中屬于被動(dòng)攻擊。

對(duì)于這種惡性的攻擊，使用者需要加快防病毒軟件的更新速度，經(jīng)常更新反病毒程序，當(dāng)惡性軟件進(jìn)行入侵時(shí)，防病毒程序會(huì)進(jìn)行攔截，防止使用者受到攻擊。開(kāi)發(fā)者對(duì)于這種攻擊可以使用函數(shù)，將特殊字符轉(zhuǎn)換成HTML編碼，過(guò)濾輸出的變量。做到定期更改sessionid和更改session的名稱;關(guān)閉透明化sessionid;在后臺(tái)過(guò)濾只能從cookie檢查session id，并且使用URL傳遞隱藏參數(shù)。對(duì)于后臺(tái)監(jiān)管者可以采用了第三方的認(rèn)證服務(wù)，防止攻擊者利用DNS欺騙用戶的攻擊方式。為防止暴力破解采用了驗(yàn)證碼技術(shù)圈和制定登錄規(guī)則，在登錄信息傳輸過(guò)程中，采用加密措施保證傳輸?shù)陌踩?。存?chǔ)密碼時(shí)不采用存儲(chǔ)明文的形式，也不僅僅用加密算法MD5或者SHA之類(lèi)的算法進(jìn)行加密，而是采用AES算法對(duì)密鑰明文MD5的密鑰加密。AES密鑰分成兩部分：一部分動(dòng)態(tài)生成單獨(dú)存儲(chǔ)在一張表里;一部分為固定存儲(chǔ)值，存儲(chǔ)在配置文件里，有效抵御相關(guān)風(fēng)險(xiǎn)。通過(guò)Web來(lái)識(shí)別用戶身份，不僅防止了非法用戶的登錄，而且提高了登錄過(guò)程的可靠性。

3 結(jié)束語(yǔ)

總而言之，登錄系統(tǒng)的首要入口是登錄窗口，這是黑客主要的攻擊對(duì)象。當(dāng)創(chuàng)始者開(kāi)發(fā)Web程序時(shí)，應(yīng)當(dāng)格外注重登錄窗口的設(shè)計(jì)、做好安全性的測(cè)試，雖然不能免于所有攻擊者的攻擊，但可以在大部分時(shí)候攔截攻擊者的攻擊，保障使用者賬號(hào)的安全，在很大程度上保證了Web窗口的安全。本文從多個(gè)方面簡(jiǎn)要地論述了攻擊者攻擊的方式，以及相對(duì)應(yīng)的應(yīng)對(duì)措施。但隨著網(wǎng)絡(luò)的不斷發(fā)展，本文所提出的攻擊方式并不全面，本文將不斷優(yōu)化。

參考文獻(xiàn)

[1]王書(shū)海，劉明生，肖眾.機(jī)房管理系統(tǒng)用戶登錄認(rèn)證方案設(shè)計(jì)[U].實(shí)驗(yàn)室研究與探索，2008，24（02）：37-38

[2]胡毅時(shí)，懷進(jìn)鵬.基于Web服務(wù)的單點(diǎn)登錄系統(tǒng)的研究與實(shí)現(xiàn)[J].北京航空航天大學(xué)學(xué)報(bào)，2004，30（03）：236-239.

[3]譚良，周明天.一種新的用戶登錄可信認(rèn)證方案的設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)應(yīng)用，2007.27（05）：1070-1072.