发布时间:2024-2-13 分类: 行业资讯
我们已经讲了一些关于Web安全防护的专业知识。先说登录密码传输、敏感实际操作的二次验证、手机客户端的强认证、验证信息不正确、避免蛮力破解密码、系统日志和监控等。
一、登录密码传输
登录页面和所有必须验证的后端网页必须通过SSL、TSL或其他安全传输技术进行浏览,原始登录页面必须通过SSL和TSL进行浏览,否则网络攻击会改变登录表单的动作特征,导致账户登录凭证泄露。如果登录后不使用SSL和TSL对网页进行浏览验证,网络攻击会窃取未经数据加密的应用ID,严重危害客户当前的主题活动应用。因此,登录密码应尽可能进行两次。
二是对实际操作更敏感的二次验证
为了减轻CSRF、应用劫持等系统漏洞的危害,在升级账户敏感信息内容(如客户登录密码、电子邮件、详细交易地址等)之前,必须对账户的凭据进行认证。).如果没有这样的对策,网络攻击可以根据CSRF和XSS攻击实施敏感的实际操作,而无需知道客户的当前凭据。此外,网络攻击可以临时触碰客户机器和设备,浏览客户计算机浏览器,然后窃取应用程序。
第三,强盟
第二要素在程序运行中的应用,可以检验客户是否能够实现敏感的实际操作。典型的例子是SSL和TSL手机客户端认证,也叫SSL和TSL双校检校检由手机客户端和服务器组成,在SSL和TSL挥舞的全过程中推送各自的资质证书。就像申请服务器端资质证书授予组织(CA)的校检网络服务器资质证书一样,网络服务器可以申请第三方CS或自己的CA 校检客户端证书的真实性和有效性。因此,服务器端必须向客户展示转换后的资质证书,并为资质证书分配相应的值,以便于使用该值来确定资质证书匹配的客户。
第四,验证错误
验证不成功后的错误,如果维护不当,可以用来枚举客户ID和登录密码的类型,程序操作应该以一般的方式进行。无论登录名或密码是否有误,都不可能列出当前的客户情况。相关例子不正确:登录失败,登录密码无效;登录失败,客户无效;登录失败,登录名不正确;使用错误的密码登录失败;适当的相关例子:登录失败,无效的登录名或登录密码。虽然有些程序运行回同一个错误,但是状态码是不一样的,在这种情况下会暴露账户的基本信息。
第五,避免密码被暴力破解
在网络程序运行中,强行破解密码是非常容易的。如果程序因为几次认证不成功而不容易使用,那么网络攻击仍然会有机会不断猜测登录密码,并继续强行破解密码,直到账号被捕获。广泛的处理方式包括多因素验证、短信验证码、个人行为校检(阿里云服务器、极限验证等。呈现服务项目)。
不及物动词系统日志和监控
记录和监控验证信息的内容可以方便地检查攻击和常见故障,并确保记录以下三项:
1.记录所有登录失败的实际操作;
2.记录所有密码错误的实际操作;
3.记录所有锁定账户的登录情况;这些都是防止网站被攻击的方法。如果无法修复漏洞,可以咨询专业的网站安全公司进行处理。建议去SINE安防、鹰盾安防、网石科技、启明星辰等专业安防公司。
