网站安全之防止重放攻击

tougao5年前 (2016-12-18)网站设计633

网站设计中有一项——网站安全是需要开发人员去考虑的,今天要讲的是网站安全中的重放攻击。

什么是重放攻击?如何防止重放攻击?

重放攻击(Replay Attacks)又称重播攻击、回放攻击或新鲜性攻击(Freshness Attacks),是指攻击者发送一个目的主机已接收过的包,来达到欺骗系统的目的,主要用于身份认证过程,破坏认证的正确性。

它是一种攻击类型,这种攻击会不断恶意或欺诈性地重复一个有效的数据传输,重放攻击可以由发起者,也可以由拦截并重发该数据的敌方进行。攻击者利用网络监听或者其他方式盗取认证凭据,之后再把它重新发给认证服务器。从这个解释上理解,加密可以有效防止会话劫持,但是却防止不了重放攻击。重放攻击任何网络通讯过程中都可能发生。重放攻击是计算机世界黑客常用的攻击方式之一,它的书面定义对不了解密码学的人来说比较抽象。

下面来一步一步深入说明如何去防止重放攻击

时间戳

“时戳”──代表当前时刻的数

基本思想──A接收一个消息当且仅当其包含一个对A而言足够接近当前时刻的时戳

原理──重放的时戳将相对远离当前时刻

时钟要求──通信各方的计算机时钟保持同步

处理方式──设置大小适当的时间窗(间隔),越大越能包容网络传输延时,越小越能防重放攻击

适用性──用于非连接性的对话(在连接情形下双方时钟若偶然出现不同步,则正确的信息可能会被误判为重放信息而丢弃,而错误的重放信息可能会当作最新信息而接收)

序号

通信双方通过消息中的序列号来判断消息的新鲜性

要求通信双方必须事先协商一个初始序列号,并协商递增方法

提问与应答

“现时”──与当前事件有关的一次性随机数N(互不重复即可)

基本做法──期望从B获得消息的A 事先发给B一个现时N,并要求B应答的消息中包含N或f(N),f是A、B预先约定的简单函数

原理──A通过B回复的N或f(N)与自己发出是否一致来判定本次消息是不是重放的

时钟要求──无

适用性──用于连接性的对话

重放攻击是对协议的攻击中危害最大、最常见的一种攻击形式。

以登陆为例看具体的例子

1.常规流程

前端web页面用户输入账号、密码,点击登录。

请求提交之前,web端首先通过客户端脚本如javascript对密码原文进行md5加密。

提交账号、md5之后的密码

请求提交至后端,验证账号与密码是否与数据库中的一致,一致则认为登录成功,反之失败。

有什么问题呢?

上述流程看似安全,认为传输过程中的密码是md5之后的,即使被监听截取到,由于md5的不可逆性,密码明文也不会泄露。其实不然!监听者无需解密出密码明文即可登录!监听者只需将监听到的url(如:http://****/login.do?method=login&password=md5之后的密码&userid=登录账号)重放一下,即可冒充你的身份登录系统。

2.稍微安全点的方式

进入登陆页面时,生成一个随机码(称之为盐值),在客户端页面和session中各保存一份。

客户端提交登录请求时,将md5之后的密码与该随机码拼接后,再次执行md5,然后提交(提交的密码=md5(md5(密码明文)+随机码))。

后端接收到登录请求后,将从数据库中查询出的密码与session中的随机码拼接后,md5运算,然后与前端传递的结果进行比较。

为何要这样?

该登录方式,即使登录请求被监听到,回放登录URL,由于随机码不匹配(监听者的session中的随机码与被监听者的session中的随机码相同概率可忽略),无法登录成功。

该登录方式,由于传输的密码是原密码md5之后与随机码再次md5之后的结果,即使监听者采用暴力破解的方式,也很难解密出密码明文。

3.更进一步

考虑到密码输入的方便性,好多用户的密码都设置的很短,并且不够复杂,往往是6位数字字母组合,这样的密码md5之后保存到数据库,一旦数据库数据泄露,简单密码的md5结果很容易通过暴力破解的方式给解密出来,何况md5出现了这么多年,可能已经有不少字典了!同时为了方便用户登录的方便性,我们的系统一般不可能要求用户设置很长、很复杂的密码!怎么办?加固定盐值。

系统设置一个固定的盐值,该盐值最好足够复杂,如:1qaz2wsx3edc4rfv!@#$%^&qqtrtRTWDFHAJBFHAGFUAHKJFHAJHFJHAJWRFA

用户注册、修改密码时,将用户的原始密码与我们的固定盐值拼接,然后做md5运算。

传递至后端,保存进数据库(数据库中保存的密码是用户的原始密码拼接固定盐值后,md5运算后的结果)。

登录时,将用户的原始密码与我们的固定盐值进行拼接,然后做md5运算,运算后的结果再拼接上我们的随机码,再次md5运算,然后提交。

后端接收到登录请求后,将从数据库中查询出的密码与session中的随机码拼接后,md5运算,然后与前端传递的结果进行比较。

4.再再进一步

加登录验证码,可预防人为地暴力登录破解

账户锁定,如果用户密码输入错误次数达到一定量后(如6次),则可以锁定该账号

本文由笔者整理,通过这篇文章,相信大家对网络重放攻击都有了明确的认知,在开发过程中要认真对待网站安全问题。

相关文章

zblog分类页高级伪静态

上一篇给zblog分类页的标题加上了页码,以利于网站SEO,这次要解决的是zblog分类页伪静态时一个缺点——URL分类目录不统一,对搜索引擎也是不友好的。作为网站建设者,一个对代码敏感的程序开发人员...

sql server如何从存储过程中查找指定的内容

sql server如何从存储过程中查找指定的内容

今天公司系统异常的慢,通过数据库监测发现是由于一段查询所引起。不过由于系统庞大,很难去定位这段sql查询是系统里那里的执行代码。那么如何去从这拥有400多张表,100多个存储过程的数据库中找到是哪个存...

asp版zblog文章分类页设计处理

asp版zblog文章分类页设计处理

zblog是一款非常优秀的cms程序,由RainbowSoft Studio团队开发,因其小巧强大而广泛用于博客程序的使用,目前有asp和php两个版本。这里以asp版本的zblog程序为例,讲解zb...

Serializable引起System.StackOverFlowException

Serializable引起System.StackOverFlowException

场景:web client + webapi,涉及到对象序列化传输的对象使用Serializable属性时的调试效果,出现堆栈溢出,iisexpress也挂掉了。出现这个问题,一般也难找出问题所在,但...

代码实现百度的自动Ping服务

代码实现百度的自动Ping服务

为了加快网站页面收录,seo人员可通过网站外链建设来实现,seo外链专员就是做这个工作的。还有一种方式是向搜索引擎提交网站的URL,这就是百度的Ping服务。ping是基于XML_RPC标准协议的更新...

discuz论坛全站关键标签伪静态问题

当我们采用discuz论坛程序建设的网站伪静态后,在论坛版块里面点击帖子转到帖子内容页是伪静态的地址。但是当我们点击论坛首页上面出现的“最后发表”“最新发表”等帖子标题时转到的具体的帖子内容页后发现帖...

发表评论

访客

◎欢迎参与讨论,请在这里发表您的看法和观点。