網(wǎng)站安全是整個網(wǎng)站運營中最重要的一部分,網(wǎng)站沒有了安全,那用戶的隱私如何保障,在網(wǎng)站中進行的任何交易,支付,用戶的注冊信息都就沒有了安全保障,所以網(wǎng)站安全做好了,才能更好的去運營一個網(wǎng)站,我們SINE安全在對客戶進行網(wǎng)站安全部署與檢測的同時,發(fā)現(xiàn)網(wǎng)站的業(yè)務(wù)邏輯漏洞很多,尤其暴利破解漏洞。
網(wǎng)站安全里的用戶密碼暴利破解,是目前業(yè)務(wù)邏輯漏洞里出現(xiàn)比較多的一個網(wǎng)站漏洞,其實暴力破解簡單來說就是利用用戶的弱口令,比如123456,111111,22222,admin等比較常用的密碼,來進行猜測并嘗試登陸網(wǎng)站進行用戶密碼登陸,這種攻擊方式,如果網(wǎng)站在設(shè)計當中沒有設(shè)計好的話,后期會給網(wǎng)站服務(wù)器后端帶來很大的壓力,可以給網(wǎng)站造成打不開,以及服務(wù)器癱瘓等影響,甚至有些暴力破解會利用工具,進行自動化的模擬攻擊,線程可以開到100-1000瞬時間就可以把服務(wù)器的CPU搞爆,大大的縮短了暴力破解的時間甚至有時幾分鐘就可以破解用戶的密碼。
在我們SINE安全對客戶網(wǎng)站漏洞檢測的同時,我們都會去從用戶的登錄,密碼找回,用戶注冊,二級密碼等等業(yè)務(wù)功能上去進行安全檢測,通過我們十多年來的安全檢測經(jīng)驗,我們來簡單的介紹一下。
首先我們來看下,暴力破解的模式,分身份驗證碼模塊暴利破解,以及無任何防護,IP鎖定機制,不間斷撞庫,驗證碼又分圖片驗證碼,短信驗證碼,驗證碼的安全繞過,手機短信驗證碼的爆破與繞過等等幾大方面。無任何防護的就是網(wǎng)站用戶在登錄的時候并沒有限制用戶錯誤登錄的次數(shù),以及用戶注冊的次數(shù),重置密碼的吃書,沒有用戶登錄驗證碼,用戶密碼沒有MD5加密,這樣就是無任何的安全防護,導(dǎo)致攻擊者可以趁虛而入,暴力破解一個網(wǎng)站的用戶密碼變的十分簡單。
IP鎖定機制就是一些網(wǎng)站會采用一些安全防護措施,當用戶登錄網(wǎng)站的時候,登錄錯誤次數(shù)超過3次,或者10次,會將該用戶賬號鎖定并鎖定該登錄賬戶的IP,IP鎖定后,該攻擊者將無法登錄網(wǎng)站。
驗證碼破解與繞過,在整個網(wǎng)站安全檢測當中很重要,一般驗證碼分為手機短信驗證碼,微信驗證碼,圖片驗證碼,網(wǎng)站在設(shè)計過程中就使用了驗證碼安全機制,但是還是會繞過以及暴利破解,有些攻擊軟件會自動的識別驗證碼,目前有些驗證碼就會使用一些拼圖,以及特殊字體,甚至有些驗證碼輸入一次就可以多次使用,驗證碼在效驗的時候并沒有與數(shù)據(jù)庫對比,導(dǎo)致被繞過。
關(guān)于網(wǎng)站出現(xiàn)邏輯漏洞該如何修復(fù)漏洞呢?
首先要設(shè)計好IP鎖定的安全機制,當攻擊者在嘗試登陸網(wǎng)站用戶的時候,可以設(shè)定一分鐘登陸多少次,登陸多了就鎖定該IP,再一個賬戶如果嘗試一些特殊操作,比如找回密碼,找回次數(shù)過多,也會封掉該IP。
驗證碼識別防護,增加一些語音驗證碼,特殊字體驗證碼,拼圖下拉驗證碼,需要人手動操作的驗證碼,短信驗證碼一分鐘只能獲取一次驗證碼。驗證碼的生效時間安全限制,無論驗證碼是否正確都要一分鐘后就過期,不能再用。所有的用戶登錄以及注冊,都要與后端服務(wù)器進行交互,包括數(shù)據(jù)庫服務(wù)器。
申請創(chuàng)業(yè)報道,分享創(chuàng)業(yè)好點子。點擊此處,共同探討創(chuàng)業(yè)新機遇!