安全验证机制设计探讨

方面，从子功能上可以划分为登录框登录、忘记密码(密码重置)、修改密码、验证码、发送手机验证码、发送邮箱验证码、注册账号、登录信息错误提示、账号锁定等等小功能组成(单点登录还要讲原理，本文暂不涉及)，每个web站点的登录大约由上面小功能的全部或者一部分组成(这里漏洞缺陷以这些小功能做划分，更有针对性覆盖也全面一点，但还是避免不了交叉)。

先从最基础最常见的开始列举列：

登录框

登录框账号密码服务端持久化：当你打开登录页面发现账号密码已经填好了，点击登录直接进后台哈哈

• 修复方案：保存账号密码处理的逻辑针对本地，session及时销毁
• 信息泄露：登录框提供个示例用户名，比如示例邮箱、手机、用户名规则导致黑客掌握规律生成字典
• 修复方案：不显示示例用户名
• sql注入：用户名字段或者密码字段存在sql注入，比较典型的是万能密码登录(大家都知道)
• 修复方案：使用参数绑定方式查询和预编译语句，如果使用各种框架按照框架安全开发的要求编程
• XSS：用户名或密码字段存在XSS，比较典型的是反射XSS打自己
• 修复方案：使用各种XSS过滤库编码库，详细请百度，本文不是XSS专题
• 账号密码暴力破解：黑客通过工具或者脚本加载账号密码字典不断尝试登录
• 修复方案：添加验证码(添加验证码不对可能导致绕过等，不一定能防止，下文详说)
• 用户枚举：输入不对的用户名提示密码不存在，输入对的用户名提示密码错误，从而枚举用户名
• 修复方案：使用模糊的错误提示，如用户名或密码不正确
• 账号锁定：用户爆破的时候错误次数过多锁定账号，然后黑客批量尝试用户名导致大部分用户名被锁
• 账号详情泄露：提交合法用户名，服务器返回关于用户名相关的账号、身份、密码等详细信息
• 修复方案：使用验证码方式防爆破，尽量不要使用登录次数太多锁定的方式，或者设置短时锁定
• 低频撞库爆破：利用脚本以慢频率持久爆破，针对限制频率数字比较大的防御策略
• 修复方案：使用验证码机制

（编辑：信阳站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!