Web登录安全如何保障，通付盾机器人防火墙来护航

2021-06-30 16:06:44 来源: 榕城网

1、HTML用户登录信息安全示例

常见的Web登录中，是下面这样的表单：

（1）作为HTTP请求body中的参数传递给后台，进行登录校验。例如用户名为user1，密码是123456，在提交登录时给后台发送的HTTP请求如下（FireFox或Chrome开发者工具捕获，需要开启Preserve log）：

发现即使password字段在输入时是黑点不可见，但仍然以明文的方式进行截获请求。

（2）在网络传输过程中，如果被嗅探截取到也会直接危及用户信息安全，以使用抓包工具Wireshark为例，可以看到HTTP协议传输直接暴露用户的账户和密码：

2、前端使用加密算法能否保证密码安全？

Web前端通常可以使用某种算法，对相关字段进行加密处理，再将密码作为HTTP请求的内容进行提交。以下主要介绍两种加密方式是否真的安全：

（1）非对称加密HTTPS一定安全吗？

非对称加密存在着公钥私钥，公钥可以随意获取，私钥是用来对公钥解密的本地存储，通过公私钥机制可以保证传输加密并且目前普遍使用的HTTPS就是基于这个原理。

但是HTTPS就一定安全吗？其实还存在两种可能的风险：

HTTPS可以保障传输过程中信息不被别人截获，但实际上HTTPS是应用层协议，底层采用的是SSL加密技术保障信息安全，但是在客户端和服务端，密文同样是可以被截获的；

HTTPS报文在传输过程中，如果客户端被恶意引导安装“中间人”的Web信任证书，那么HTTPS中的“中间人攻击”一样会将明文密码泄露出去。

（2）MD5存在的安全隐患问题

经过各种安全事件后，很多系统在存放密码的时候不会直接存放明文密码，大都改成存放 md5 加密（hash）后的密码，可是这样真的安全吗？

用一个脚本测试下MD5的速度，测试结果：

根据以上结果会发现一个问题：MD5的测试速度太快，导致很容易进行暴力破解。

简单计算一下：

使用6位纯数字密码，破解只要0.234秒！

使用6位数字+小写字母密码，破解只要8.49分钟！

使用6位数字+大小写混合字母密码，破解只要3.69个小时！

因此可以看出，对于MD5的破解其实就是属于“碰撞”，很多密码都是采用比较有规律的字母或数字，更能降低暴力破解的难度。

文章开头的例子：用户输入的用户名是：user1，密码是：123456，无论在任何协议之下，可以看到实际发送的HTTP/HTTPS报文在MD5处理后是这样的：

如果直接截获你的密码密文，然后发送给服务器不是一样可以登录吗？因为数据库里不也是MD5(password)一样的密文吗？HTTP请求被伪造，一样可以登录成功。

3、通付盾机器人防火墙有效防护Web登录安全

针对以上Web登录安全问题，通付盾推出了机器人防火墙（新一代动态Web应用防火墙），搭载了自研的动态防护技术，支持对Web登录页面进行网页源码动态加密、动态令牌等，实现对用户信息安全的有效保障。

（1）网页源码动态加密

通付盾机器人防火墙采用网页源码动态加密方式对所需Web站点源码进行加密保护，从而实现站点安全加固。通过特殊算法改变原有的信息数据,使得未授权用户即使获得了已加密的信息,但因不知解密方法,仍然无法了解信息内容，达到隐藏可能存在的攻击路径效果，大幅提升攻击者对Web站点进行攻击的难度。同时验证所有用户输出到客户端的内容，防止带有恶意攻击代码的文件提交至服务器，建立可信关系。

网页源码动态加密保护前效果如下：

网页源码动态加密保护后效果如下：

（2）动态令牌

通过对一次性动态令牌合法性的校验来确保执行正确的业务逻辑，使我们的网站环境更加安全。动态令牌有唯一性与时效性两个属性。

唯一性体现在请求检查时会解析出令牌中的客户端信息和当前访问的客户端信息进行匹配，如匹配不上则说明该令牌不属于当前客户端，很可能令牌被盗用。

时效性是指每一个令牌都设定有效时间，令牌中记录了令牌设定的时间，当前请求时间减去令牌设定时间即为令牌的生命时间，然后以此判断令牌是否超过有效时间，超过有效时间的令牌即使客户端信息正确也不再有效。

令牌由通付盾机器人防火墙本身的机制产生，通过把唯一标识客户端的信息和请求时间组合在一起，再由特定算法加密得出；产生的令牌在响应时返回给客户端，客户端再次请求时就会带着自己的令牌访问服务器，每个客户端都有自己的令牌，而且各不相同，之后同样的请求还会更新令牌，不至于轻易伪造，保障了信息系统提供保密性、不可否认性。

动态令牌保护前效果图如下：