黑科技展示,一種無法被暴力破解的登入方式!
網站頁面上的登入操作,通常都是輸入帳號密碼,傳輸至網站後臺驗證。
在網站頁面、資料傳輸中,透過技術手段,都可以得到使用者輸入的資訊,並可以修改,從而發起網路攻擊。典型的如:使用自動化工具或指令碼進行的暴力破解、撞庫。這是很常見的網路安全攻擊方式。一旦成功,帳號密碼被獲得,後果很嚴重。
接下來,演示一種防資料在傳輸入中被篡改的安全防護技術。
如下圖,在某網站登入頁面,可以看到表單資料中有email、pwd等欄位,即帳號密碼。
攻擊者,可能使用攔截、burp、自寫指令碼的方式,向後臺傳遞表單資料,嘗試登入。
(注:圖中網站僅做測試使用,並不表示目標網站存在安全漏洞)
攻擊原理,是對email、pwd等欄位重新進行賦值,並重新提交給網站後臺。
TIP:或許有人說:密碼欄位都會加密的,怎麼重賦值呢?
當然可以,加密操作,是在頁面進行的,只需找到加密函式,即可知道加密演算法。甚至直接呼叫加密函式即可。
在本例中,確實pwd欄位有被加密,但很容易找到加密函式,如下:
加密函式:
如何才能提高安全性呢?這正是本文想說的。
直入正題:可以透過技術手段,隱藏email、pwd等表單內容,使無法定位到表單資料,也就無法修改欄位內容了。
效果如下:
且不影響正常登入功能使用,如下圖,防護後的登入操作:
登入失敗:
登入成功:
登入成功:
可見經保護後,不影響正常的登入操作。
本方法,可防burp等攔截並篡改資料的工具或指令碼,可用於防暴力破解、撞庫、嗅探等攻擊。