防Web攻擊的登陸窗口程序設(shè)計

元昊

摘要

隨著網(wǎng)絡(luò)的逐步發(fā)展，網(wǎng)絡(luò)使用的安全性越來越被大家所關(guān)注，網(wǎng)絡(luò)黑客以及病毒的存在讓許多企業(yè)、政府部門甚至國家深受其害，造成了巨大的經(jīng)濟損失。如何減少網(wǎng)絡(luò)攻擊，增強安全性是研究人員需要展開研究的重點。登錄系統(tǒng)的首要入口是登錄窗口，這是黑客主要的攻擊對象。因此，需要有一個防攻擊的登錄窗口，只有登錄窗口的安全得到保障，才能保證整個系統(tǒng)的正常運行本文通過多個方面對登錄窗口的防攻擊設(shè)計進行了合理地探究。

【關(guān)鍵詞】網(wǎng)絡(luò)安全 登錄窗口 Web攻擊

現(xiàn)階段，網(wǎng)絡(luò)系統(tǒng)Web被直接部署于網(wǎng)絡(luò)之上，登錄網(wǎng)絡(luò)就可以訪問，具有一定的公開性，導(dǎo)致網(wǎng)絡(luò)安全成為很多人擔(dān)心的問題。目前，存在的系統(tǒng)絕大部分都涉及到登錄系統(tǒng)，攻擊者通過對登錄窗口攻擊的侵入系統(tǒng)進行破壞，以達到自己的目的。本文通過程序設(shè)計的角度對防Web攻擊登錄窗口進行探究，對于其中等需要極高安全性要求的網(wǎng)絡(luò)，除了系統(tǒng)本身所提供的Web外，還需要外界的硬件來保障系統(tǒng)的安全性。

1 關(guān)于Web安全性的研究

1.1 通過外界硬件設(shè)備提高安全性

對于相關(guān)平臺模塊的用戶在進行登錄時，將外界硬件設(shè)備用相關(guān)的用戶信息以動態(tài)口令等技術(shù)來保證登錄用戶信息的真實有效，但只適合用于對安全性要求極高的系統(tǒng)，對于普通的系統(tǒng)而言，讓使用者使用時配置相關(guān)的硬件是十分不現(xiàn)實的。

1.2 通過軟件設(shè)計提高安全性

將算法作為基礎(chǔ)，通過混合性加密來實現(xiàn)安全性的提高。在安全范圍內(nèi)減少登錄次數(shù)，做到登陸一次就可以處理復(fù)雜的業(yè)務(wù)。

1.3 程序與數(shù)據(jù)庫設(shè)置相互配合

通過將特殊字符替換的形式，將數(shù)據(jù)庫賬戶權(quán)限進行合理、有效的分配，保證其合法性，對于敏感的數(shù)據(jù)，可以通過錯誤處理的方式來保證安全性。

2 程序的設(shè)計

登錄窗口設(shè)計要盡量做到全面，攻擊者不會用所有的方法進行試探，僅通過部分重要的要素進行攻擊。在下文列舉了幾種常見的攻擊方式以及與之相對應(yīng)的處理方法。

2.1 防SQL注入進行系統(tǒng)攻擊

在現(xiàn)有的登錄程序中大部分都是直接填寫SQL語句，這種登錄方式給了攻擊者可乘之機，攻擊者只需要在用戶名、密碼框內(nèi)隨意填寫，在驗證碼處填寫特定的語句，驗證即可通過。攻擊者就可以隨意侵入系統(tǒng)，并窺探使用者的信息，并且，一般SQL注入不會引起防火墻的攔截，攻擊者更加容易對系統(tǒng)正常使用者進行攻擊。與此同時，預(yù)防這種系統(tǒng)攻擊的方式有以下幾點：更換驗證方式;軟件開發(fā)者提高警惕性，對常見的SQL植入有一定的防范警惕性;過濾特殊符號;綁定變量，使用預(yù)編譯語句等。

2.2 控制輸入密碼的次數(shù)

隨著網(wǎng)絡(luò)的發(fā)展，黑客使用配置比較高的電腦進行破解密碼，運行速度非常快，在很短的時間內(nèi)就可以破譯出密碼，但是嘗試的次數(shù)較多，所以控制輸入密碼的次數(shù)就顯得尤為重要，如果將輸入密碼的次數(shù)控制在5次以內(nèi)，便可以大大減少被破解的幾率，而且不會影響到正常使用用戶的登錄。

2.3 限制同一IP重復(fù)申請賬號

同一IP多次進行申請也是一種攻擊形式，當(dāng)同一IP申請的次數(shù)過多時，網(wǎng)絡(luò)后臺應(yīng)限制該用戶再進行申請。同時，瀏覽器應(yīng)該記錄下該用戶申請注冊的有關(guān)信息，以及后臺統(tǒng)計計算申請的次數(shù)。

2.4 其它操作

包括判斷用戶在線與否，false在線才能進行下一步注冊;核實身份等有效信息，判斷是否已經(jīng)在幾率名單內(nèi);重要信息需要在登錄后寫入注冊表;對使用注冊者使用鍵盤回車鍵進行控制;提供多種語言服務(wù)，為外籍人員注冊提供方便;添加不同種類的驗證碼，在登錄時進行驗證;客戶端和服務(wù)器進行雙驗證，防止攻擊者黑客控制客戶端程序;OS注入攻擊，當(dāng)使用者使用咨詢表單的發(fā)送時，該功能可將用戶的咨詢郵件按己填寫的對方郵箱地址發(fā)送過去，給攻擊者提供攻擊的目標(biāo);跨站點請求偽造攻擊，跨站點請求偽造攻擊是攻擊榜排名的第八名，它是指攻擊者登錄了普通用戶的賬號，訪問有惡意代碼的網(wǎng)站，同時控制惡意代碼對其它網(wǎng)站進行攻擊，利用受信任的身份請求一些平時不允許的操作，這種攻擊在攻擊中屬于被動攻擊。

對于這種惡性的攻擊，使用者需要加快防病毒軟件的更新速度，經(jīng)常更新反病毒程序，當(dāng)惡性軟件進行入侵時，防病毒程序會進行攔截，防止使用者受到攻擊。開發(fā)者對于這種攻擊可以使用函數(shù)，將特殊字符轉(zhuǎn)換成HTML編碼，過濾輸出的變量。做到定期更改sessionid和更改session的名稱;關(guān)閉透明化sessionid;在后臺過濾只能從cookie檢查session id，并且使用URL傳遞隱藏參數(shù)。對于后臺監(jiān)管者可以采用了第三方的認(rèn)證服務(wù)，防止攻擊者利用DNS欺騙用戶的攻擊方式。為防止暴力破解采用了驗證碼技術(shù)圈和制定登錄規(guī)則，在登錄信息傳輸過程中，采用加密措施保證傳輸?shù)陌踩浴４鎯γ艽a時不采用存儲明文的形式，也不僅僅用加密算法MD5或者SHA之類的算法進行加密，而是采用AES算法對密鑰明文MD5的密鑰加密。AES密鑰分成兩部分：一部分動態(tài)生成單獨存儲在一張表里;一部分為固定存儲值，存儲在配置文件里，有效抵御相關(guān)風(fēng)險。通過Web來識別用戶身份，不僅防止了非法用戶的登錄，而且提高了登錄過程的可靠性。

3 結(jié)束語

總而言之，登錄系統(tǒng)的首要入口是登錄窗口，這是黑客主要的攻擊對象。當(dāng)創(chuàng)始者開發(fā)Web程序時，應(yīng)當(dāng)格外注重登錄窗口的設(shè)計、做好安全性的測試，雖然不能免于所有攻擊者的攻擊，但可以在大部分時候攔截攻擊者的攻擊，保障使用者賬號的安全，在很大程度上保證了Web窗口的安全。本文從多個方面簡要地論述了攻擊者攻擊的方式，以及相對應(yīng)的應(yīng)對措施。但隨著網(wǎng)絡(luò)的不斷發(fā)展，本文所提出的攻擊方式并不全面，本文將不斷優(yōu)化。

參考文獻

[1]王書海，劉明生，肖眾.機房管理系統(tǒng)用戶登錄認(rèn)證方案設(shè)計[U].實驗室研究與探索，2008，24（02）：37-38

[2]胡毅時，懷進鵬.基于Web服務(wù)的單點登錄系統(tǒng)的研究與實現(xiàn)[J].北京航空航天大學(xué)學(xué)報，2004，30（03）：236-239.

[3]譚良，周明天.一種新的用戶登錄可信認(rèn)證方案的設(shè)計與實現(xiàn)[J].計算機應(yīng)用，2007.27（05）：1070-1072.