- 相關(guān)推薦
PHP安全:杜絕弱口令
在PHP的應(yīng)用中一直都存在安全問題,其中有一個(gè)就是因?yàn)槿蹩诹钜鸬模酉聛硪黄鹂纯丛趺炊沤^吧!
所謂弱口令就是非常簡(jiǎn)單的密碼,比如“admin、123456、888888”等等。這類密碼因?yàn)楹芊奖阌洃洠员淮罅渴褂茫且卜浅H菀鬃屗瞬聹y(cè)到,更容易被黑客暴力破解。
弱口令一直是數(shù)據(jù)泄露的一個(gè)大癥結(jié),因?yàn)槿蹩诹钍亲钊菀壮霈F(xiàn)的也是最容易被利用的漏洞之一。從去年發(fā)生的好萊塢明星“艷照門”事件到今年年初海康威視“安全門”事件,都是因?yàn)槿蹩诹顔栴}被黑客加以利用而導(dǎo)致大量隱私泄露。
通 過調(diào)查兩千五百名網(wǎng)民的密碼使用情況,發(fā)現(xiàn)了一個(gè)有意思的情況:74%承認(rèn)他們每個(gè)月都會(huì)忘記至少一個(gè)密碼,其中33%的人會(huì)因此有5分鐘訪問不到工作上 的某些資源,57%的人是5-30分鐘,剩余10%的人更高。在登錄站點(diǎn)發(fā)生密碼錯(cuò)誤時(shí),71%的人多次嘗試不同密碼后成功登錄,18%選擇找回密碼,剩 余11%則直接重新注冊(cè)一個(gè)新賬號(hào)。
比如機(jī)場(chǎng)的無線網(wǎng)絡(luò)密碼就經(jīng)常采用弱口令。如果你想上網(wǎng)但又舍不得去咖啡廳的時(shí)候,有些常見的弱口令可 以試試,比如說1234567890,而這些弱口令常常使用WEP網(wǎng)絡(luò)。當(dāng)然,還有經(jīng)驗(yàn)豐富的網(wǎng)友說,商家的電話號(hào)碼或者跟他們相關(guān)的數(shù)字都可能是無線網(wǎng) 絡(luò)密碼,比如說店名+123一類。
而除了以上信息,弱口令有時(shí)候甚至可能是用戶身份的相關(guān)信息,這里就涉及到了用戶的信息安全。如果要保護(hù)口令的安全,就需保護(hù)用戶的信息安全。這里波及的面更廣,拿到了用戶信息就可能拿到用戶的財(cái)務(wù)信息,包括銀行卡密碼。
無論從什么角度來看,忘記密碼造成的麻煩甚至是損失都是不小的,因此許多用戶會(huì)選擇使用簡(jiǎn)單好記的密碼或總是讓瀏覽器記住他們的密碼。而弱密碼是非常危險(xiǎn)的,在商業(yè)環(huán)境中,這種做法的數(shù)據(jù)泄露風(fēng)險(xiǎn)同樣可想而知。
那么,對(duì)于企業(yè)來說,該如何規(guī)避此類風(fēng)險(xiǎn)?
杜不絕的簡(jiǎn)單密碼是常見的難題
許多企業(yè)花費(fèi)了許多精力在技術(shù)部署上,各種技術(shù)性防護(hù)措施部署非常到位,但是卻難以杜絕員工使用弱口令。密碼被黑客獲取,就好比小偷得到家里的鑰匙,即時(shí)防盜門再好也無濟(jì)于事。因此,解決弱口令問題,關(guān)鍵在于采取適當(dāng)?shù)慕鉀Q方法。通常情況下,大部分企業(yè)會(huì)選擇這些做法:
一、進(jìn)行員工培訓(xùn),提高員工的網(wǎng)絡(luò)安全意識(shí)
二、在制度上嚴(yán)格規(guī)定,規(guī)范公司賬號(hào)密碼使用方法
三、通過技術(shù)手段對(duì)弱口令進(jìn)行限制
弱 口令不是簡(jiǎn)單的管理問題,每個(gè)人都有使用固定的密碼的習(xí)慣。培訓(xùn)和制度的約束很難改變一個(gè)人的行為習(xí)慣,況且培訓(xùn)和制度的約束效果無法量化,實(shí)施起來收效 甚慢,弱口令也不是一個(gè)單純的技術(shù)問題。比如我們可以通過技術(shù)手段強(qiáng)制要求密碼的復(fù)雜策略,但是防不住員工把密碼貼在顯示器上,這也是弱口令導(dǎo)致泄露事件 頻發(fā)的原因之一。因此規(guī)避弱口令問題,企業(yè)必須從管理和技術(shù)等多方面著手。
規(guī)避弱口令風(fēng)險(xiǎn),可以嘗試這樣做
一、統(tǒng)一集中管理認(rèn)證憑據(jù)
1、對(duì)于系統(tǒng)類的,win10.ithome.com/" target="_blank">Windows有域策略,可以強(qiáng)制要求密碼復(fù)雜度策略。
2、*nix類的系統(tǒng)可以通過LDAP的方式集中管理。
3、對(duì)于高危服務(wù)類,比如MySQL、FTP、Redis、SVN、Git、Rsync等常被黑客利用的高危服務(wù),由于業(yè)務(wù)特性極少做統(tǒng)一的管理,那么可以要求它們限定訪問來源。
4、對(duì)于私有服務(wù)類,這里是指一些自己寫的后臺(tái)接口,在了解具體協(xié)議和用法之后,很多人也不會(huì)去做鑒權(quán)控制,所以只要是潛伏時(shí)間足夠長(zhǎng),往往都有驚人的權(quán)限。同理,能夠做統(tǒng)一集中的鑒權(quán)最佳,否則至少限制來源訪問。
二、廢棄傳統(tǒng)靜態(tài)密碼,或不僅僅使用傳統(tǒng)密碼
一旦完成了統(tǒng)一集中管理,就可以做到首次認(rèn)證,后續(xù)攜帶登錄狀態(tài)自動(dòng)登錄其它系統(tǒng)。這樣你可以在首次認(rèn)證的時(shí)候,在密碼的基礎(chǔ)上加入動(dòng)態(tài)密碼或生物識(shí)別驗(yàn)證。
這里可以使用的工具有:
一、動(dòng)態(tài)口令硬件(類似于銀行使用的網(wǎng)銀支付使用U盾產(chǎn)品);
二、手持終端掃碼,這本質(zhì)上是信任手持終端,在此前可以加入生物特征,比如指紋、人臉、聲紋等可靠的校驗(yàn)機(jī)制;
三、當(dāng)然,也有些用短信驗(yàn)證的,不過短信成本高,并且是明文傳輸,有盜卡、補(bǔ)卡的風(fēng)險(xiǎn),內(nèi)部系統(tǒng)其實(shí)并不適合。
可以說,能做到兩點(diǎn),也就無所謂是否還改密碼,是否是弱密碼也不再需要擔(dān)心撞庫的問題了。
最后說第三點(diǎn),也是最關(guān)鍵的一點(diǎn):讓公司領(lǐng)導(dǎo)明白弱口令的嚴(yán)重性!
PHP安全:杜絕弱口令 1
網(wǎng)絡(luò)在給人們帶來方便快捷的同時(shí),也存在較大的信息安全隱患。網(wǎng)站的設(shè)計(jì)關(guān)系到國家的政治、經(jīng)濟(jì)、文化、社會(huì)生活等各個(gè)方面,延伸的范圍非常廣。幾乎每個(gè)企業(yè)或每個(gè)部門都有自己的專屬網(wǎng)站,而各個(gè)部門之間的交流溝通也大多通過網(wǎng)絡(luò)來進(jìn)行。
1PHP網(wǎng)站設(shè)計(jì)中信息安全存在的問題
目前,在對(duì)PHP網(wǎng)站進(jìn)行編碼的過程中,存在程序員信息安全意識(shí)不高,沒有對(duì)用戶所輸入的信息進(jìn)行安全驗(yàn)證等現(xiàn)象。因此,會(huì)間接導(dǎo)致計(jì)算機(jī)內(nèi)部的安全操作系統(tǒng)被不法分子所利用,使得一些錯(cuò)誤、有害的指令也會(huì)被當(dāng)作正確的合法指令來運(yùn)行,進(jìn)而導(dǎo)致網(wǎng)站的信息會(huì)發(fā)生泄露,從而侵犯了用戶的隱私,給用戶的信息安全帶來不利影響。
1.1有sql的注入
從廣泛的意義上講,網(wǎng)站的程序設(shè)計(jì)員需要在編寫網(wǎng)站代碼的過程中對(duì)用戶輸入數(shù)據(jù)的合法性進(jìn)行分析與判斷,進(jìn)而防止網(wǎng)站信息泄露[1]。如果網(wǎng)站的程序設(shè)計(jì)員在編寫網(wǎng)站代碼的過程中忽視了這項(xiàng)操作,用戶就可以通過提交數(shù)據(jù)庫查詢代碼的方式來根據(jù)程序返回的'結(jié)果獲取相關(guān)數(shù)據(jù)信息,這就是注入sql。注入sql容易導(dǎo)致網(wǎng)站用戶的信息發(fā)生泄露,所以相關(guān)網(wǎng)站的程序設(shè)計(jì)員要對(duì)用戶所輸入的數(shù)據(jù)進(jìn)行合法性的判斷與分析,進(jìn)而提高網(wǎng)站的信息安全。
1.2會(huì)發(fā)生or1=1及union語句的入侵現(xiàn)象
注入or1=1主要是可以在登錄某個(gè)網(wǎng)站系統(tǒng)時(shí),繞過相應(yīng)的密碼驗(yàn)證,進(jìn)而利用一個(gè)任意的用戶名來登入系統(tǒng),從而達(dá)到入侵系統(tǒng)的目的。這是一種在網(wǎng)絡(luò)中運(yùn)用較為廣泛的語句注入模式。這種注入模式主要是利用了程序員在編寫驗(yàn)證代碼時(shí),沒有對(duì)用戶輸入信息中是否含有非預(yù)期的字符進(jìn)行判斷,直接將用戶的操作請(qǐng)求傳達(dá)給計(jì)算機(jī)函數(shù)來執(zhí)行。這種注入語句的方式使得密碼驗(yàn)證變得可有可無,不法分子可以直接繞過密碼驗(yàn)證來入侵系統(tǒng),進(jìn)而輕而易舉地獲取到相關(guān)用戶的信息[2]。與or1=1語句注入所不同的是,union語句可以通過自身的特殊性來使程序的默認(rèn)語句出錯(cuò)。并通過計(jì)算機(jī)程序執(zhí)行union后,通過自己構(gòu)建的sql語句來達(dá)到注入語句的目的,進(jìn)而入侵到內(nèi)部程序中。
1.3存在xss跨站攻擊
xss是一種較為常見的網(wǎng)站攻擊方式,它的工作原理跟sql相差不大,只是xss主要是通過JavaScript的腳本注入到html標(biāo)簽中,進(jìn)而將惡意內(nèi)容輸入網(wǎng)頁輸入框中。當(dāng)這些惡意內(nèi)容重新回讀到網(wǎng)站的客戶端時(shí),網(wǎng)站瀏覽器會(huì)自動(dòng)運(yùn)行這些惡意腳本,進(jìn)而通過影響網(wǎng)頁的正常顯示來達(dá)到注入腳本的目的。通過代碼植入網(wǎng)頁的方式來利用xss漏洞控制計(jì)算機(jī)操作系統(tǒng),進(jìn)而XX利用安全漏洞來編寫惡意程序,從而破壞計(jì)算機(jī)操作系統(tǒng)的穩(wěn)定性。XX利用xss來攻擊頁面,使得計(jì)算機(jī)用戶在瀏覽網(wǎng)站時(shí)會(huì)自動(dòng)彈出一些窗口。XX就是利用這些窗口來給網(wǎng)頁掛上相應(yīng)的木馬病毒,進(jìn)而讓網(wǎng)站用戶的計(jì)算機(jī)系統(tǒng)感染病毒,以此來獲取相關(guān)用戶的信息。
2對(duì)PHP網(wǎng)站設(shè)計(jì)中的信息安全進(jìn)行防御的具體措施
2.1使安全防御措施對(duì)用戶公開、透明
在保護(hù)網(wǎng)站的信息安全時(shí),要讓安全防御措施對(duì)用戶公開、透明。讓用戶不能直接跳過信息安全保護(hù)驗(yàn)證,進(jìn)而讓計(jì)算機(jī)網(wǎng)站運(yùn)行操作更為安全。最直接的方法就是在用戶進(jìn)入網(wǎng)站系統(tǒng)之前,首先要輸入相應(yīng)的用戶名及密碼,進(jìn)而達(dá)到保護(hù)網(wǎng)站信息安全的目的。
2.2跟蹤數(shù)據(jù)運(yùn)行流程
任何一個(gè)合格的網(wǎng)站程序員都會(huì)對(duì)用戶的數(shù)據(jù)進(jìn)行隨時(shí)跟蹤,通過掌握信息動(dòng)向來防止發(fā)生信息泄露的問題。對(duì)數(shù)據(jù)信息進(jìn)行跟蹤是一種難度較高的信息監(jiān)測(cè)方法,特別是在一些程序開發(fā)者不能熟悉該原理的情況下,會(huì)無法深入理解web的運(yùn)作原理,進(jìn)而在程序開發(fā)過程中出現(xiàn)失誤,并產(chǎn)生一定的安全漏洞。
2.3篩選輸入信息
對(duì)用戶所輸入的信息進(jìn)行必要的篩選是保證網(wǎng)站信息安全的必要手段,也是對(duì)輸入的驗(yàn)證信息進(jìn)行合法化的過程。相關(guān)網(wǎng)站工作者通過對(duì)用戶所輸入的信息進(jìn)行確認(rèn)并篩選,這種方法可以避免一些網(wǎng)站病毒在未知的情況下被誤用。
2.4防止注入sql
在目前來講,網(wǎng)絡(luò)的系統(tǒng)注入方式較為豐富,但在注入方面都存在一個(gè)共同點(diǎn),就是利用程序缺乏必要的過濾手段這個(gè)缺點(diǎn),以此來達(dá)到非法獲取用戶信息的目的。所以,要防止非法語句的注入,就要對(duì)查詢語句進(jìn)行必要的篩選及過濾。通常意義上,是利用計(jì)算機(jī)運(yùn)行程序里的函數(shù)通過正規(guī)的表達(dá)式來進(jìn)行常用語句的匹配,并對(duì)相應(yīng)的語句進(jìn)行必要的篩選及過濾。所以,只要利用了過濾函數(shù),就可以在較大程度上避免出現(xiàn)利用注入語句的方式來入侵網(wǎng)站的現(xiàn)象,從而達(dá)到保護(hù)網(wǎng)站用戶信息安全的目的。
3結(jié)語
本文對(duì)PHP網(wǎng)站設(shè)計(jì)中幾種常見的信息安全漏洞進(jìn)行了探索與分析,并對(duì)如何加強(qiáng)PHP網(wǎng)站設(shè)計(jì)的信息安全進(jìn)行了研究與探討。在對(duì)網(wǎng)站信息安全進(jìn)行維護(hù)的具體過程中,并沒有一個(gè)固定的模式。因此,我們需要具體情況具體分析,靈活運(yùn)用相關(guān)措施來保護(hù)用戶的隱私,從而在一定程度上維護(hù)網(wǎng)站用戶的信息安全。
【PHP安全:杜絕弱口令】相關(guān)文章:
PHP弱類型變量是如何實(shí)現(xiàn)的05-31
PHP腳本修改Linux系統(tǒng)口令的方法09-05
PHP腳本修改Linux或Unix系統(tǒng)口令方法10-18
PHP開發(fā)的安全技巧10-14
PHP開發(fā)安全技巧08-10
PHP開發(fā)安全的技巧10-27
PHP開發(fā)安全保護(hù)的要點(diǎn)10-28
PHP開發(fā)的安全問題10-06
淺談PHP 安全性09-28