聊聊近期的安全事件
发布时间:2022-04-28 10:06:39 所属栏目:安全 来源:互联网
导读:很多网站都有用户系统,有用户系统就有密码存放,通常,密码都是加密传输的,为了安全,通常是单向散列加密,或者说,不可逆加密,一个简单的判断是,你通过密码找回功能操作,如果让你重设密码的,基本上是不可逆加密的,直接给你密码的,都是明文或可逆加
|
很多网站都有用户系统,有用户系统就有密码存放,通常,密码都是加密传输的,为了安全,通常是单向散列加密,或者说,不可逆加密,一个简单的判断是,你通过密码找回功能操作,如果让你重设密码的,基本上是不可逆加密的,直接给你密码的,都是明文或可逆加密的,这种都非常危险。 用户系统面临的风险大体包括 1:弱口令扫描 2:注入 3:侦听 4:爆库 5:社工库扫描 此外XSS蠕虫或其他溢出神马的,限于篇幅,在这就不多提了。 目前玩弱口令扫描的少了,因为投入产出不经济,注入是另一个话题,本文不提,侦听要特别强调一下,不但存储要注意安全,在传输和用户录入过程中的安全也非常关键,这也是类似支付宝,银行网关等产品经常要安全控件的原因,而作为常规的网站往往不肯如此影响用户体验,在用户体验至上的环境里,https也往往不被主流网站采纳,一个简单的方法是,在登陆后生成一个临时密码作为当前用户的权限识别标记,这个临时密码会在会话结束后过期,这样的优点是临时密码基本上不太担心被侦听(除非是实时捕获实时操作)而登陆过程只有一次,认证过程很多次,所以被侦听到的几率就会小很多。另外,前端js加密也是有用的,有些人从“技术”上会反驳,我知道你js加密手段,我很容易破解你,你加密有什么用?但是我希望大家有一个概念,很多情况下,正在玩侦听的家伙并不是针对你的网站的,也往往并不是很专业的,可能就是网吧里看了一个黑客教程,下载了一个sniffer就开始玩的小p孩,设置的这些门槛,并不是针对那些盯着你非搞你不可的家伙,而能过滤掉这些无聊的过路黑客,对你的用户来说,也是很有意义的事情。在成本较低,而你的网站知名度也不是很高的情况下,这些技术上看上去并不特别靠谱的事情还是可以大幅度提高你的安全性。记住一点,很多黑客并没有明确的针对性,喜欢网上撒网,然后看到有意思的东西再去搞,你不能让他看到一眼就觉得你的东西很好搞。 另外,虽然中国山东大学出了一个王小云教授震惊了世界,但是逆向md5目前仍然是不现实的事情,别说这玩意很简单,没有黑客会如此滥用计算力,除非是政府机构,针对特定目标,你的账号,通常情况下,不值得这样做,除非你是屏蔽词。 (编辑:PHP编程网 - 黄冈站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330482号