張晗卓 張中偉

摘要：網(wǎng)絡(luò)已成為日常生活的重要組成部分，而HTTP協(xié)議是目前網(wǎng)絡(luò)應(yīng)用最廣泛的應(yīng)用層協(xié)議，但存在信息泄露風(fēng)險(xiǎn)。使用Wireshark軟件抓取數(shù)據(jù)包工具對(duì)HTTP協(xié)議進(jìn)行分析，研究HTTP協(xié)議的安全隱患，并對(duì)其造成的影響進(jìn)行分析，提供了一種對(duì)HTTP協(xié)議采用雙重加密的簡(jiǎn)便實(shí)現(xiàn)方法，保證數(shù)據(jù)和信息傳輸?shù)陌踩?/p>

關(guān)鍵詞：HTTP協(xié)議；網(wǎng)絡(luò)安全；協(xié)議分析；信息泄露；數(shù)據(jù)加密

中圖分類(lèi)號(hào)：TP393文獻(xiàn)標(biāo)志碼：A文章編號(hào)：1008-1739（2019）17-69-3

0引言

從目前互聯(lián)網(wǎng)應(yīng)用狀況來(lái)看，網(wǎng)站采用B/S架構(gòu)提供網(wǎng)絡(luò)服務(wù)的方式占有較大比重，而大多數(shù)網(wǎng)站數(shù)據(jù)傳輸使用的是安全性較低的HTTP協(xié)議[1]，沒(méi)有使用安全協(xié)議進(jìn)行數(shù)據(jù)加密傳輸，使得傳輸?shù)臄?shù)據(jù)容易發(fā)生泄露，從而造成用戶信息、商業(yè)機(jī)密及政府文件等信息，面臨著極高的被截獲甚至是被泄露和篡改的風(fēng)險(xiǎn)。本文基于HTTP協(xié)議的交互方式，分析HTTP協(xié)議傳輸數(shù)據(jù)的風(fēng)險(xiǎn)[2]，及其存在的安全隱患，最后提供了保證信息安全的實(shí)現(xiàn)方法。

目前提供網(wǎng)絡(luò)服務(wù)的網(wǎng)站主要采用HTTP和HTTPS協(xié)議來(lái)實(shí)現(xiàn)信息傳輸。HTTP協(xié)議采用請(qǐng)求/響應(yīng)模型，以明文的形式交換數(shù)據(jù)。HTTPS協(xié)議采用對(duì)稱(chēng)密鑰模式，客戶端與服務(wù)器端的信息數(shù)據(jù)依靠密鑰進(jìn)行加密傳輸。而HTTPS協(xié)議需要使用受信機(jī)構(gòu)頒發(fā)的證書(shū)、采用獨(dú)立IP地址、密鑰交換延長(zhǎng)延時(shí)等特征，從而造成網(wǎng)站成本較高。因此，采用HTTP協(xié)議來(lái)進(jìn)行信息傳輸?shù)膽?yīng)用還具有廣闊市場(chǎng)，而由于HTTP協(xié)議采用明文進(jìn)行數(shù)據(jù)交換，使得對(duì)HTTP的安全風(fēng)險(xiǎn)分析及解決方法的研究仍然具有重要意義。

1方案設(shè)計(jì)

1.1實(shí)驗(yàn)環(huán)境

電腦主機(jī)1臺(tái)：操作系統(tǒng)為Windows7旗艦版SP1 64位；CPU：Intel（R）Pentium（R）G3240@3.10 GHz雙核；內(nèi)存為4 GB；硬盤(pán)為T(mén)igo SSD 120 GB；顯卡為主板集成顯卡；網(wǎng)卡為Realtek RTL8168/8111 PCI-e千兆集成網(wǎng)卡。工具軟件：Wireshark V2.2.7（64位）。測(cè)試對(duì)象：創(chuàng)新教育實(shí)驗(yàn)室官網(wǎng)和水木社區(qū)Web網(wǎng)站。

1.2研究對(duì)象

使用瀏覽器訪問(wèn)網(wǎng)站并分別進(jìn)行登錄，用Wireshark軟件抓取交互數(shù)據(jù)包，對(duì)數(shù)據(jù)包進(jìn)行解析，分析信息交互過(guò)程中存在的安全風(fēng)險(xiǎn)。由于創(chuàng)新教育實(shí)驗(yàn)室官網(wǎng)和水木社區(qū)使用的是HTTP協(xié)議進(jìn)行數(shù)據(jù)傳輸，便于進(jìn)行HTTP協(xié)議的安全分析。

1.3研究方法

通過(guò)對(duì)多個(gè)網(wǎng)站登錄交互信息樣本采集和分析，得出是否存在信息泄露隱患。試驗(yàn)樣本采集方式是本地計(jì)算機(jī)抓取協(xié)議包獲取信息。

通過(guò)抓取用戶登錄數(shù)據(jù)，查看協(xié)議交互過(guò)程中采用HTTP協(xié)議的POST包，對(duì)用戶登錄過(guò)程中敏感信息是否能夠輕易獲取到[3]，若是明文信息則說(shuō)明該網(wǎng)站存在信息泄露的風(fēng)險(xiǎn)，否則認(rèn)為該網(wǎng)站采取了安全措施，基本能夠保證用戶登錄過(guò)程的安全。

2結(jié)果分析

2.1實(shí)驗(yàn)結(jié)果

從網(wǎng)絡(luò)信息安全角度出發(fā)，由于在網(wǎng)絡(luò)中信息存在泄露風(fēng)險(xiǎn)，當(dāng)網(wǎng)站使用不安全的HTTP協(xié)議傳輸進(jìn)行敏感信息交互時(shí)，有可能造成在網(wǎng)絡(luò)傳輸過(guò)程中出現(xiàn)較大的安全隱患[4]?；谏鲜鲈?，本文從賬號(hào)登錄方面對(duì)HTTP協(xié)議信息泄露問(wèn)題進(jìn)行分析。

2.1.1創(chuàng)新教育實(shí)驗(yàn)室官網(wǎng)案例

使用注冊(cè)的賬號(hào)在創(chuàng)新教育實(shí)驗(yàn)室官網(wǎng)登錄平臺(tái)進(jìn)行登錄，并使用Wireshark抓取相關(guān)數(shù)據(jù)包，抓取信息如圖1所示，從截圖中可以明確看到登錄信息的明文內(nèi)容，所有敏感信息一覽無(wú)余。

2.1.2水木社區(qū)網(wǎng)站案例

使用測(cè)試賬號(hào)進(jìn)行登錄測(cè)試，用Wireshark截取數(shù)據(jù)包，抓取結(jié)果如圖2所示。對(duì)截取下來(lái)的數(shù)據(jù)包進(jìn)行篩選，提取 HTTP協(xié)議相關(guān)數(shù)據(jù)包進(jìn)行分析，客戶端發(fā)送給服務(wù)端的用戶信息，以明文直接存放在POST數(shù)據(jù)包內(nèi)，交互信息可以通過(guò)工具軟件直接讀取出來(lái)。

從上述2個(gè)案例可以看出，這2個(gè)網(wǎng)站在登錄過(guò)程中采用的是不安全的HTTP協(xié)議，均存在安全隱患。

2.2研究結(jié)論

從幾個(gè)案例中可以看出：使用HTTP協(xié)議POST機(jī)制，用戶信息直接以明文存在于數(shù)據(jù)包中，在傳輸過(guò)程中很容易被截獲而造成信息泄露，使得用戶信息采用簡(jiǎn)單的攻擊手段就能夠輕松獲得。根據(jù)這種情況，可以分析出以下安全隱患：

①用戶本網(wǎng)站賬戶信息安全存在威脅：攻擊者很容易獲取到正常用戶的賬號(hào)和密碼，并利用截獲的有效信息直接登錄網(wǎng)站，以被攻擊用戶身份來(lái)進(jìn)行操作，使用戶在本網(wǎng)站的信息受到侵害。

②禍及本用戶其他網(wǎng)站賬號(hào)安全：由于不少用戶為了方便在多個(gè)網(wǎng)站上進(jìn)行登錄信息設(shè)置時(shí)使用相同賬號(hào)及密碼，攻擊者通過(guò)抓獲某些不安全網(wǎng)站的HTTP協(xié)議數(shù)據(jù)包，獲取在本網(wǎng)站的登記用戶名和密碼后，使用已知用戶名和密碼去嘗試登錄其他網(wǎng)站，可以直接獲取到用戶高價(jià)值網(wǎng)站賬號(hào)信息，可能給被泄露的用戶帶來(lái)嚴(yán)重經(jīng)濟(jì)損失。

3解決方法

3.1解決思路

HTTP協(xié)議使用POST或者GET方式提交用戶名和密碼等信息時(shí)，傳輸過(guò)程中使用明文，沒(méi)有任何形式的數(shù)據(jù)加密，若在傳輸途中截獲登錄的HTTP數(shù)據(jù)包，則用戶名和密碼會(huì)被輕易獲取，造成信息泄露。所以，很多安全要求較高的網(wǎng)站會(huì)使用HTTPS來(lái)確保傳輸過(guò)程的安全，HTTPS用證書(shū)頒發(fā)機(jī)構(gòu)頒發(fā)的證書(shū)在瀏覽器和服務(wù)器之間進(jìn)行通信加密。然而，HTTPS證書(shū)申請(qǐng)要一定的門(mén)檻，給用戶帶來(lái)不便，但可以通過(guò)使用HTTP協(xié)議登錄下的登錄安全模式設(shè)計(jì)，給使用HTTP協(xié)議登錄的網(wǎng)站一個(gè)解決辦法，該方法不需要額外花銷(xiāo)的同時(shí)最大化保障網(wǎng)站登錄安全[5]。

3.2實(shí)現(xiàn)方法

解決HTTP協(xié)議存在的安全風(fēng)險(xiǎn)可以在HTTP協(xié)議中通過(guò)對(duì)用戶名和密碼加密，再用動(dòng)態(tài)驗(yàn)證碼進(jìn)行二次加密，保證用戶數(shù)據(jù)在傳輸過(guò)程中的信息安全。

雙重加密方法的實(shí)現(xiàn)過(guò)程包括：服務(wù)器動(dòng)態(tài)生成的驗(yàn)證碼，提交到客戶端登錄界面；在客戶端對(duì)用戶名和密碼進(jìn)行加密，使用驗(yàn)證碼對(duì)用戶名和密碼的加密結(jié)果再次進(jìn)行加密，并將雙重加密后的信息添加到HTTP協(xié)議中，發(fā)送登錄請(qǐng)求到服務(wù)器；服務(wù)器接收到用戶登錄請(qǐng)求后，使用動(dòng)態(tài)驗(yàn)證碼對(duì)用戶名和密碼進(jìn)行解密，再解密用戶名和密碼，最后對(duì)HTTP協(xié)議進(jìn)行解析和響應(yīng)。

3.3效果分析

雙重加密避免了僅對(duì)用戶名和密碼加密仍然無(wú)法避免重放攻擊威脅的情形，其在不可逆密文加密前使用動(dòng)態(tài)驗(yàn)證碼對(duì)原始密文添加擾動(dòng)信息，即便使用攔截到的信息也無(wú)法重復(fù)登錄，從而實(shí)現(xiàn)保護(hù)用戶密碼和避免重放攻擊的作用，提高入侵者的破解成本和門(mén)檻，提高采用HTTP協(xié)議的網(wǎng)站的安全性。

4結(jié)束語(yǔ)

對(duì)教育網(wǎng)站和論壇社區(qū)等類(lèi)型網(wǎng)站進(jìn)行登錄信息測(cè)試，使用Wireshark工具軟件抓取HTTP協(xié)議數(shù)據(jù)包，通過(guò)實(shí)驗(yàn)研究了HTTP協(xié)議對(duì)網(wǎng)絡(luò)安全的影響，分析了導(dǎo)致信息泄露的原因。在清楚地了解HTTP協(xié)議存在安全風(fēng)險(xiǎn)的基礎(chǔ)上，遇到類(lèi)似問(wèn)題時(shí)，能夠通過(guò)采用安全技術(shù)和方法來(lái)避免該類(lèi)安全威脅的出現(xiàn)，從而保障用戶信息安全。

參考文獻(xiàn)

[1]謝希仁.計(jì)算機(jī)網(wǎng)絡(luò)：第5版[M].北京：電子工業(yè)出版社， 2008.

[2]陳雷，劉嘉勇.基于HTTP協(xié)議的POST數(shù)據(jù)分析與還原[J].通信技術(shù)，2011，44（4）：132-134，169.

[3]龔美娜.基于網(wǎng)絡(luò)協(xié)議的信息隱藏研究與實(shí)現(xiàn)[D].南京：南京郵電大學(xué)，2015.

[4]胡亮，零宗諭，陶杜輝，等.基于HTTP協(xié)議的信息系統(tǒng)信息泄露的探究[J].企業(yè)科技與發(fā)展，2018（1）：62-64，67.

[5]鮑天賜，劉志剛.基于HTTP的Web登錄安全和模式設(shè)計(jì)[J].工業(yè)控制計(jì)算機(jī)，2017，30（5）：99-100.