元昊

摘要

隨著網(wǎng)絡(luò)的逐步發(fā)展，網(wǎng)絡(luò)使用的安全性越來越被大家所關(guān)注，網(wǎng)絡(luò)黑客以及病毒的存在讓許多企業(yè)、政府部門甚至國家深受其害，造成了巨大的經(jīng)濟(jì)損失。如何減少網(wǎng)絡(luò)攻擊，增強(qiáng)安全性是研究人員需要展開研究的重點(diǎn)。登錄系統(tǒng)的首要入口是登錄窗口，這是黑客主要的攻擊對象。因此，需要有一個防攻擊的登錄窗口，只有登錄窗口的安全得到保障，才能保證整個系統(tǒng)的正常運(yùn)行本文通過多個方面對登錄窗口的防攻擊設(shè)計(jì)進(jìn)行了合理地探究。

【關(guān)鍵詞】網(wǎng)絡(luò)安全 登錄窗口 Web攻擊

現(xiàn)階段，網(wǎng)絡(luò)系統(tǒng)Web被直接部署于網(wǎng)絡(luò)之上，登錄網(wǎng)絡(luò)就可以訪問，具有一定的公開性，導(dǎo)致網(wǎng)絡(luò)安全成為很多人擔(dān)心的問題。目前，存在的系統(tǒng)絕大部分都涉及到登錄系統(tǒng)，攻擊者通過對登錄窗口攻擊的侵入系統(tǒng)進(jìn)行破壞，以達(dá)到自己的目的。本文通過程序設(shè)計(jì)的角度對防Web攻擊登錄窗口進(jìn)行探究，對于其中等需要極高安全性要求的網(wǎng)絡(luò)，除了系統(tǒng)本身所提供的Web外，還需要外界的硬件來保障系統(tǒng)的安全性。

1 關(guān)于Web安全性的研究

1.1 通過外界硬件設(shè)備提高安全性

對于相關(guān)平臺模塊的用戶在進(jìn)行登錄時(shí)，將外界硬件設(shè)備用相關(guān)的用戶信息以動態(tài)口令等技術(shù)來保證登錄用戶信息的真實(shí)有效，但只適合用于對安全性要求極高的系統(tǒng)，對于普通的系統(tǒng)而言，讓使用者使用時(shí)配置相關(guān)的硬件是十分不現(xiàn)實(shí)的。

1.2 通過軟件設(shè)計(jì)提高安全性

將算法作為基礎(chǔ)，通過混合性加密來實(shí)現(xiàn)安全性的提高。在安全范圍內(nèi)減少登錄次數(shù)，做到登陸一次就可以處理復(fù)雜的業(yè)務(wù)。

1.3 程序與數(shù)據(jù)庫設(shè)置相互配合

通過將特殊字符替換的形式，將數(shù)據(jù)庫賬戶權(quán)限進(jìn)行合理、有效的分配，保證其合法性，對于敏感的數(shù)據(jù)，可以通過錯誤處理的方式來保證安全性。

2 程序的設(shè)計(jì)

登錄窗口設(shè)計(jì)要盡量做到全面，攻擊者不會用所有的方法進(jìn)行試探，僅通過部分重要的要素進(jìn)行攻擊。在下文列舉了幾種常見的攻擊方式以及與之相對應(yīng)的處理方法。

2.1 防SQL注入進(jìn)行系統(tǒng)攻擊

在現(xiàn)有的登錄程序中大部分都是直接填寫SQL語句，這種登錄方式給了攻擊者可乘之機(jī)，攻擊者只需要在用戶名、密碼框內(nèi)隨意填寫，在驗(yàn)證碼處填寫特定的語句，驗(yàn)證即可通過。攻擊者就可以隨意侵入系統(tǒng)，并窺探使用者的信息，并且，一般SQL注入不會引起防火墻的攔截，攻擊者更加容易對系統(tǒng)正常使用者進(jìn)行攻擊。與此同時(shí)，預(yù)防這種系統(tǒng)攻擊的方式有以下幾點(diǎn)：更換驗(yàn)證方式;軟件開發(fā)者提高警惕性，對常見的SQL植入有一定的防范警惕性;過濾特殊符號;綁定變量，使用預(yù)編譯語句等。

2.2 控制輸入密碼的次數(shù)

隨著網(wǎng)絡(luò)的發(fā)展，黑客使用配置比較高的電腦進(jìn)行破解密碼，運(yùn)行速度非?？欤诤芏痰臅r(shí)間內(nèi)就可以破譯出密碼，但是嘗試的次數(shù)較多，所以控制輸入密碼的次數(shù)就顯得尤為重要，如果將輸入密碼的次數(shù)控制在5次以內(nèi)，便可以大大減少被破解的幾率，而且不會影響到正常使用用戶的登錄。

2.3 限制同一IP重復(fù)申請賬號

同一IP多次進(jìn)行申請也是一種攻擊形式，當(dāng)同一IP申請的次數(shù)過多時(shí)，網(wǎng)絡(luò)后臺應(yīng)限制該用戶再進(jìn)行申請。同時(shí)，瀏覽器應(yīng)該記錄下該用戶申請注冊的有關(guān)信息，以及后臺統(tǒng)計(jì)計(jì)算申請的次數(shù)。

2.4 其它操作

包括判斷用戶在線與否，false在線才能進(jìn)行下一步注冊;核實(shí)身份等有效信息，判斷是否已經(jīng)在幾率名單內(nèi);重要信息需要在登錄后寫入注冊表;對使用注冊者使用鍵盤回車鍵進(jìn)行控制;提供多種語言服務(wù)，為外籍人員注冊提供方便;添加不同種類的驗(yàn)證碼，在登錄時(shí)進(jìn)行驗(yàn)證;客戶端和服務(wù)器進(jìn)行雙驗(yàn)證，防止攻擊者黑客控制客戶端程序;OS注入攻擊，當(dāng)使用者使用咨詢表單的發(fā)送時(shí)，該功能可將用戶的咨詢郵件按己填寫的對方郵箱地址發(fā)送過去，給攻擊者提供攻擊的目標(biāo);跨站點(diǎn)請求偽造攻擊，跨站點(diǎn)請求偽造攻擊是攻擊榜排名的第八名，它是指攻擊者登錄了普通用戶的賬號，訪問有惡意代碼的網(wǎng)站，同時(shí)控制惡意代碼對其它網(wǎng)站進(jìn)行攻擊，利用受信任的身份請求一些平時(shí)不允許的操作，這種攻擊在攻擊中屬于被動攻擊。

對于這種惡性的攻擊，使用者需要加快防病毒軟件的更新速度，經(jīng)常更新反病毒程序，當(dāng)惡性軟件進(jìn)行入侵時(shí)，防病毒程序會進(jìn)行攔截，防止使用者受到攻擊。開發(fā)者對于這種攻擊可以使用函數(shù)，將特殊字符轉(zhuǎn)換成HTML編碼，過濾輸出的變量。做到定期更改sessionid和更改session的名稱;關(guān)閉透明化sessionid;在后臺過濾只能從cookie檢查session id，并且使用URL傳遞隱藏參數(shù)。對于后臺監(jiān)管者可以采用了第三方的認(rèn)證服務(wù)，防止攻擊者利用DNS欺騙用戶的攻擊方式。為防止暴力破解采用了驗(yàn)證碼技術(shù)圈和制定登錄規(guī)則，在登錄信息傳輸過程中，采用加密措施保證傳輸?shù)陌踩?。存儲密碼時(shí)不采用存儲明文的形式，也不僅僅用加密算法MD5或者SHA之類的算法進(jìn)行加密，而是采用AES算法對密鑰明文MD5的密鑰加密。AES密鑰分成兩部分：一部分動態(tài)生成單獨(dú)存儲在一張表里;一部分為固定存儲值，存儲在配置文件里，有效抵御相關(guān)風(fēng)險(xiǎn)。通過Web來識別用戶身份，不僅防止了非法用戶的登錄，而且提高了登錄過程的可靠性。

3 結(jié)束語

總而言之，登錄系統(tǒng)的首要入口是登錄窗口，這是黑客主要的攻擊對象。當(dāng)創(chuàng)始者開發(fā)Web程序時(shí)，應(yīng)當(dāng)格外注重登錄窗口的設(shè)計(jì)、做好安全性的測試，雖然不能免于所有攻擊者的攻擊，但可以在大部分時(shí)候攔截攻擊者的攻擊，保障使用者賬號的安全，在很大程度上保證了Web窗口的安全。本文從多個方面簡要地論述了攻擊者攻擊的方式，以及相對應(yīng)的應(yīng)對措施。但隨著網(wǎng)絡(luò)的不斷發(fā)展，本文所提出的攻擊方式并不全面，本文將不斷優(yōu)化。

參考文獻(xiàn)

[1]王書海，劉明生，肖眾.機(jī)房管理系統(tǒng)用戶登錄認(rèn)證方案設(shè)計(jì)[U].實(shí)驗(yàn)室研究與探索，2008，24（02）：37-38

[2]胡毅時(shí)，懷進(jìn)鵬.基于Web服務(wù)的單點(diǎn)登錄系統(tǒng)的研究與實(shí)現(xiàn)[J].北京航空航天大學(xué)學(xué)報(bào)，2004，30（03）：236-239.

[3]譚良，周明天.一種新的用戶登錄可信認(rèn)證方案的設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)應(yīng)用，2007.27（05）：1070-1072.