域名預(yù)訂/競(jìng)價(jià),好“米”不錯(cuò)過(guò)
網(wǎng)站安全是整個(gè)網(wǎng)站運(yùn)營(yíng)中最重要的一部分,網(wǎng)站沒(méi)有了安全,那用戶的隱私如何保障,在網(wǎng)站中進(jìn)行的任何交易,支付,用戶的注冊(cè)信息都就沒(méi)有了安全保障,所以網(wǎng)站安全做好了,才能更好的去運(yùn)營(yíng)一個(gè)網(wǎng)站,我們SINE安全在對(duì)客戶進(jìn)行網(wǎng)站安全部署與檢測(cè)的同時(shí),發(fā)現(xiàn)網(wǎng)站的業(yè)務(wù)邏輯漏洞很多,尤其暴利破解漏洞。
網(wǎng)站安全里的用戶密碼暴利破解,是目前業(yè)務(wù)邏輯漏洞里出現(xiàn)比較多的一個(gè)網(wǎng)站漏洞,其實(shí)暴力破解簡(jiǎn)單來(lái)說(shuō)就是利用用戶的弱口令,比如123456,111111,22222,admin等比較常用的密碼,來(lái)進(jìn)行猜測(cè)并嘗試登陸網(wǎng)站進(jìn)行用戶密碼登陸,這種攻擊方式,如果網(wǎng)站在設(shè)計(jì)當(dāng)中沒(méi)有設(shè)計(jì)好的話,后期會(huì)給網(wǎng)站服務(wù)器后端帶來(lái)很大的壓力,可以給網(wǎng)站造成打不開(kāi),以及服務(wù)器癱瘓等影響,甚至有些暴力破解會(huì)利用工具,進(jìn)行自動(dòng)化的模擬攻擊,線程可以開(kāi)到100-1000瞬時(shí)間就可以把服務(wù)器的CPU搞爆,大大的縮短了暴力破解的時(shí)間甚至有時(shí)幾分鐘就可以破解用戶的密碼。
在我們SINE安全對(duì)客戶網(wǎng)站漏洞檢測(cè)的同時(shí),我們都會(huì)去從用戶的登錄,密碼找回,用戶注冊(cè),二級(jí)密碼等等業(yè)務(wù)功能上去進(jìn)行安全檢測(cè),通過(guò)我們十多年來(lái)的安全檢測(cè)經(jīng)驗(yàn),我們來(lái)簡(jiǎn)單的介紹一下。
首先我們來(lái)看下,暴力破解的模式,分身份驗(yàn)證碼模塊暴利破解,以及無(wú)任何防護(hù),IP鎖定機(jī)制,不間斷撞庫(kù),驗(yàn)證碼又分圖片驗(yàn)證碼,短信驗(yàn)證碼,驗(yàn)證碼的安全繞過(guò),手機(jī)短信驗(yàn)證碼的爆破與繞過(guò)等等幾大方面。無(wú)任何防護(hù)的就是網(wǎng)站用戶在登錄的時(shí)候并沒(méi)有限制用戶錯(cuò)誤登錄的次數(shù),以及用戶注冊(cè)的次數(shù),重置密碼的吃書(shū),沒(méi)有用戶登錄驗(yàn)證碼,用戶密碼沒(méi)有MD5加密,這樣就是無(wú)任何的安全防護(hù),導(dǎo)致攻擊者可以趁虛而入,暴力破解一個(gè)網(wǎng)站的用戶密碼變的十分簡(jiǎn)單。
IP鎖定機(jī)制就是一些網(wǎng)站會(huì)采用一些安全防護(hù)措施,當(dāng)用戶登錄網(wǎng)站的時(shí)候,登錄錯(cuò)誤次數(shù)超過(guò)3次,或者10次,會(huì)將該用戶賬號(hào)鎖定并鎖定該登錄賬戶的IP,IP鎖定后,該攻擊者將無(wú)法登錄網(wǎng)站。
驗(yàn)證碼破解與繞過(guò),在整個(gè)網(wǎng)站安全檢測(cè)當(dāng)中很重要,一般驗(yàn)證碼分為手機(jī)短信驗(yàn)證碼,微信驗(yàn)證碼,圖片驗(yàn)證碼,網(wǎng)站在設(shè)計(jì)過(guò)程中就使用了驗(yàn)證碼安全機(jī)制,但是還是會(huì)繞過(guò)以及暴利破解,有些攻擊軟件會(huì)自動(dòng)的識(shí)別驗(yàn)證碼,目前有些驗(yàn)證碼就會(huì)使用一些拼圖,以及特殊字體,甚至有些驗(yàn)證碼輸入一次就可以多次使用,驗(yàn)證碼在效驗(yàn)的時(shí)候并沒(méi)有與數(shù)據(jù)庫(kù)對(duì)比,導(dǎo)致被繞過(guò)。
關(guān)于網(wǎng)站出現(xiàn)邏輯漏洞該如何修復(fù)漏洞呢?
首先要設(shè)計(jì)好IP鎖定的安全機(jī)制,當(dāng)攻擊者在嘗試登陸網(wǎng)站用戶的時(shí)候,可以設(shè)定一分鐘登陸多少次,登陸多了就鎖定該IP,再一個(gè)賬戶如果嘗試一些特殊操作,比如找回密碼,找回次數(shù)過(guò)多,也會(huì)封掉該IP。
驗(yàn)證碼識(shí)別防護(hù),增加一些語(yǔ)音驗(yàn)證碼,特殊字體驗(yàn)證碼,拼圖下拉驗(yàn)證碼,需要人手動(dòng)操作的驗(yàn)證碼,短信驗(yàn)證碼一分鐘只能獲取一次驗(yàn)證碼。驗(yàn)證碼的生效時(shí)間安全限制,無(wú)論驗(yàn)證碼是否正確都要一分鐘后就過(guò)期,不能再用。所有的用戶登錄以及注冊(cè),都要與后端服務(wù)器進(jìn)行交互,包括數(shù)據(jù)庫(kù)服務(wù)器。
申請(qǐng)創(chuàng)業(yè)報(bào)道,分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處,共同探討創(chuàng)業(yè)新機(jī)遇!