網站頁面上的登錄操作,通常都是輸入帳號密碼,傳輸至網站后臺驗證。
在網站頁面、數據傳輸中,通過技術手段,都可以得到用戶輸入的信息,并可以修改,從而發起網絡攻擊。典型的如:使用自動化工具或腳本進行的暴力破解、撞庫。這是很常見的網絡安全攻擊方式。一旦成功,帳號密碼被獲得,后果很嚴重。
接下來,演示一種防數據在傳輸入中被篡改的安全防護技術。
如下圖,在某網站登錄頁面,可以看到表單數據中有email、pwd等字段,即帳號密碼。
攻擊者,可能使用攔截、burp、自寫腳本的方式,向后臺傳遞表單數據,嘗試登錄。
(注:圖中網站僅做測試使用,并不表示目標網站存在安全漏洞)
攻擊原理,是對email、pwd等字段重新進行賦值,并重新提交給網站后臺。
TIP:或許有人說:密碼字段都會加密的,怎么重賦值呢?
當然可以,加密操作,是在頁面進行的,只需找到加密函數,即可知道加密算法。甚至直接調用加密函數即可。
在本例中,確實pwd字段有被加密,但很容易找到加密函數,如下:
加密函數:
如何才能提高安全性呢?這正是本文想說的。
直入正題:可以通過技術手段,隱藏email、pwd等表單內容,使無法定位到表單數據,也就無法修改字段內容了。
效果如下:
且不影響正常登錄功能使用,如下圖,防護后的登錄操作:
登錄失敗:
登錄成功:
登錄成功:
可見經保護后,不影響正常的登錄操作。
本方法,可防burp等攔截并篡改數據的工具或腳本,可用于防暴力破解、撞庫、嗅探等攻擊。
