網(wǎng)絡安全防護很久以前就講過一些專業(yè)知識�,下面再講一遍網(wǎng)絡安全防護中的登陸密碼傳輸�,比較敏感的實際操作二次驗證��,手機客戶端強認證���,驗證的錯誤信息����,避免暴力破解密碼���,系統(tǒng)日志和監(jiān)控等����。
**�����,登陸密碼傳送����。
登錄頁和所有后臺必須驗證,頁面必須使用SSL�、TSL或其他安全傳輸技術進行瀏覽,原始登錄頁必須應用SSL���、TSL進行瀏覽�����,否則網(wǎng)絡攻擊會改變登錄頁的action特性�,導致用戶登錄憑據(jù)泄露,假如登陸后沒有應用SSL�����、TSL進行二次數(shù)據(jù)加密��,網(wǎng)絡攻擊會盜取對未數(shù)據(jù)加密的應用程序ID��,進而嚴重危害用戶當前的主題活動應用程序�����,因此�,也應盡量對登陸密碼進行二次數(shù)據(jù)加密���,然后進行傳送�。
第二�,對比較敏感的實際操作進行第二驗證�。
從而減輕CSRF��、應用程序被劫持等系統(tǒng)漏洞的危害��,在更新賬戶比較敏感的信息內(nèi)容(如客戶登錄密碼�、電子郵件、買賣詳細地址等)之前必須進行賬戶認證����,如果沒有這類對策,網(wǎng)絡攻擊不必了解客戶的憑據(jù)���,就可以根據(jù)CSRF�、XSS攻擊進行比較敏感的實際操作��,如果沒有這類對策�����,網(wǎng)絡攻擊就不會了解客戶的電腦資料���。
手機客戶端的強力認證�����。
應用第二要素運行程序以檢查客戶是否具有較敏感的實際操作能力���,典型實例有SSL�、TSL手機客戶端身份認證���,別稱SSL����、TSL雙重校檢�,校檢由手機客戶端和服務器端組成,在SSL���、TSL揮手整個過程中分別推送各自的資格證書����,正如應用服務器端的資格證書要授予組織(CA)校檢網(wǎng)絡服務器真正有效一樣�,網(wǎng)絡服務器能夠應用第三方CS或自己的CA校檢客戶端證書真正有效,因此���,服務器端一定要為客戶出示為它轉(zhuǎn)換的資格證書,并將資格證書分派給相應的值�,以方便用戶以此值確定與資格證書匹配的客戶�。
第四�,驗證錯誤。
如果未正確保存驗證失敗后的錯誤�,則可將其用于枚舉類型客戶ID使用登陸密碼,程序運行應采用通用方式進行相對操作�����,無論登錄名或密碼錯誤���,都不能對當前客戶的情況進行表名���。錯誤的相對實例:登錄失敗,登錄密碼無效�����;登錄失敗����,登錄客戶無效;登錄失敗�,登錄名不正確;登錄失敗,密碼錯誤����;適當?shù)南鄬嵗旱卿浭。卿浢虻卿浢艽a無效���。有些程序運行時返回的錯誤雖然是相同的�����,但返回的狀態(tài)碼卻不同�,這種情況也會暴露出賬戶的基本信息���。
避免用暴力破解密碼����。
對Web程序運行實施暴力破解密碼是一件很容易的事��,假如程序運行不容易因為多次驗證失敗而導致帳號被禁止使用��,那么網(wǎng)絡攻擊將有機會不斷猜想登錄密碼����,進行不斷暴力破解密碼��,直到帳戶被攻占。多種處理方法有多重因素驗證���、SMS驗證碼��、個人行為檢查(阿里云服務器��、極驗等服務項目都提供)���。
六、系統(tǒng)日志和監(jiān)控���。
可以方便地檢查驗證信息內(nèi)容的記錄和監(jiān)控是否能方便地檢查進攻性和常見故障���。
記錄所有登錄失敗的實際操作過程;
記錄所有密碼錯誤的實際操作過程���;
3��、記錄所有帳號鎖定的登陸���;以上這些都是防止網(wǎng)站被攻擊的方法��,如果確實無法修復存在漏洞的話可以咨詢專業(yè)網(wǎng)站安全公司進行處理�����,建議可以找我們盛世傳媒專業(yè)的安全公司來處理��。
