- 相关推荐
PHP安全:杜绝弱口令
在PHP的应用中一直都存在安全问题,其中有一个就是因为弱口令引起的,接下来一起看看怎么杜绝吧!
所谓弱口令就是非常简单的密码,比如“admin、123456、888888”等等。这类密码因为很方便记忆,所以被大量使用,但是也非常容易让他人猜测到,更容易被黑客暴力破解。
弱口令一直是数据泄露的一个大症结,因为弱口令是最容易出现的也是最容易被利用的漏洞之一。从去年发生的好莱坞明星“艳照门”事件到今年年初海康威视“安全门”事件,都是因为弱口令问题被黑客加以利用而导致大量隐私泄露。
通 过调查两千五百名网民的密码使用情况,发现了一个有意思的情况:74%承认他们每个月都会忘记至少一个密码,其中33%的人会因此有5分钟访问不到工作上 的某些资源,57%的人是5-30分钟,剩余10%的人更高。在登录站点发生密码错误时,71%的人多次尝试不同密码后成功登录,18%选择找回密码,剩 余11%则直接重新注册一个新账号。
比如机场的无线网络密码就经常采用弱口令。如果你想上网但又舍不得去咖啡厅的时候,有些常见的弱口令可 以试试,比如说1234567890,而这些弱口令常常使用WEP网络。当然,还有经验丰富的网友说,商家的电话号码或者跟他们相关的数字都可能是无线网 络密码,比如说店名+123一类。
而除了以上信息,弱口令有时候甚至可能是用户身份的相关信息,这里就涉及到了用户的信息安全。如果要保护口令的安全,就需保护用户的信息安全。这里波及的面更广,拿到了用户信息就可能拿到用户的财务信息,包括银行卡密码。
无论从什么角度来看,忘记密码造成的麻烦甚至是损失都是不小的,因此许多用户会选择使用简单好记的密码或总是让浏览器记住他们的密码。而弱密码是非常危险的,在商业环境中,这种做法的数据泄露风险同样可想而知。
那么,对于企业来说,该如何规避此类风险?
杜不绝的简单密码是常见的难题
许多企业花费了许多精力在技术部署上,各种技术性防护措施部署非常到位,但是却难以杜绝员工使用弱口令。密码被黑客获取,就好比小偷得到家里的钥匙,即时防盗门再好也无济于事。因此,解决弱口令问题,关键在于采取适当的解决方法。通常情况下,大部分企业会选择这些做法:
一、进行员工培训,提高员工的网络安全意识
二、在制度上严格规定,规范公司账号密码使用方法
三、通过技术手段对弱口令进行限制
弱 口令不是简单的管理问题,每个人都有使用固定的密码的习惯。培训和制度的约束很难改变一个人的行为习惯,况且培训和制度的约束效果无法量化,实施起来收效 甚慢,弱口令也不是一个单纯的技术问题。比如我们可以通过技术手段强制要求密码的复杂策略,但是防不住员工把密码贴在显示器上,这也是弱口令导致泄露事件 频发的原因之一。因此规避弱口令问题,企业必须从管理和技术等多方面着手。
规避弱口令风险,可以尝试这样做
一、统一集中管理认证凭据
1、对于系统类的,win10.ithome.com/" target="_blank">Windows有域策略,可以强制要求密码复杂度策略。
2、*nix类的系统可以通过LDAP的方式集中管理。
3、对于高危服务类,比如MySQL、FTP、Redis、SVN、Git、Rsync等常被黑客利用的高危服务,由于业务特性极少做统一的管理,那么可以要求它们限定访问来源。
4、对于私有服务类,这里是指一些自己写的后台接口,在了解具体协议和用法之后,很多人也不会去做鉴权控制,所以只要是潜伏时间足够长,往往都有惊人的权限。同理,能够做统一集中的鉴权最佳,否则至少限制来源访问。
二、废弃传统静态密码,或不仅仅使用传统密码
一旦完成了统一集中管理,就可以做到首次认证,后续携带登录状态自动登录其它系统。这样你可以在首次认证的时候,在密码的基础上加入动态密码或生物识别验证。
这里可以使用的工具有:
一、动态口令硬件(类似于银行使用的网银支付使用U盾产品);
二、手持终端扫码,这本质上是信任手持终端,在此前可以加入生物特征,比如指纹、人脸、声纹等可靠的校验机制;
三、当然,也有些用短信验证的,不过短信成本高,并且是明文传输,有盗卡、补卡的风险,内部系统其实并不适合。
可以说,能做到两点,也就无所谓是否还改密码,是否是弱密码也不再需要担心撞库的问题了。
最后说第三点,也是最关键的一点:让公司领导明白弱口令的严重性!
PHP安全:杜绝弱口令 1
网络在给人们带来方便快捷的同时,也存在较大的信息安全隐患。网站的设计关系到国家的政治、经济、文化、社会生活等各个方面,延伸的范围非常广。几乎每个企业或每个部门都有自己的专属网站,而各个部门之间的交流沟通也大多通过网络来进行。
1PHP网站设计中信息安全存在的问题
目前,在对PHP网站进行编码的过程中,存在程序员信息安全意识不高,没有对用户所输入的信息进行安全验证等现象。因此,会间接导致计算机内部的安全操作系统被不法分子所利用,使得一些错误、有害的指令也会被当作正确的合法指令来运行,进而导致网站的信息会发生泄露,从而侵犯了用户的隐私,给用户的信息安全带来不利影响。
1.1有sql的注入
从广泛的意义上讲,网站的程序设计员需要在编写网站代码的过程中对用户输入数据的合法性进行分析与判断,进而防止网站信息泄露[1]。如果网站的程序设计员在编写网站代码的过程中忽视了这项操作,用户就可以通过提交数据库查询代码的方式来根据程序返回的结果获取相关数据信息,这就是注入sql。注入sql容易导致网站用户的信息发生泄露,所以相关网站的程序设计员要对用户所输入的数据进行合法性的判断与分析,进而提高网站的信息安全。
1.2会发生or1=1及union语句的入侵现象
注入or1=1主要是可以在登录某个网站系统时,绕过相应的密码验证,进而利用一个任意的用户名来登入系统,从而达到入侵系统的目的。这是一种在网络中运用较为广泛的语句注入模式。这种注入模式主要是利用了程序员在编写验证代码时,没有对用户输入信息中是否含有非预期的字符进行判断,直接将用户的操作请求传达给计算机函数来执行。这种注入语句的方式使得密码验证变得可有可无,不法分子可以直接绕过密码验证来入侵系统,进而轻而易举地获取到相关用户的信息[2]。与or1=1语句注入所不同的是,union语句可以通过自身的特殊性来使程序的默认语句出错。并通过计算机程序执行union后,通过自己构建的sql语句来达到注入语句的目的,进而入侵到内部程序中。
1.3存在xss跨站攻击
xss是一种较为常见的网站攻击方式,它的工作原理跟sql相差不大,只是xss主要是通过JavaScript的脚本注入到html标签中,进而将恶意内容输入网页输入框中。当这些恶意内容重新回读到网站的客户端时,网站浏览器会自动运行这些恶意脚本,进而通过影响网页的正常显示来达到注入脚本的目的。通过代码植入网页的方式来利用xss漏洞控制计算机操作系统,进而XX利用安全漏洞来编写恶意程序,从而破坏计算机操作系统的稳定性。XX利用xss来攻击页面,使得计算机用户在浏览网站时会自动弹出一些窗口。XX就是利用这些窗口来给网页挂上相应的木马病毒,进而让网站用户的计算机系统感染病毒,以此来获取相关用户的信息。
2对PHP网站设计中的信息安全进行防御的具体措施
2.1使安全防御措施对用户公开、透明
在保护网站的信息安全时,要让安全防御措施对用户公开、透明。让用户不能直接跳过信息安全保护验证,进而让计算机网站运行操作更为安全。最直接的方法就是在用户进入网站系统之前,首先要输入相应的用户名及密码,进而达到保护网站信息安全的目的'。
2.2跟踪数据运行流程
任何一个合格的网站程序员都会对用户的数据进行随时跟踪,通过掌握信息动向来防止发生信息泄露的问题。对数据信息进行跟踪是一种难度较高的信息监测方法,特别是在一些程序开发者不能熟悉该原理的情况下,会无法深入理解web的运作原理,进而在程序开发过程中出现失误,并产生一定的安全漏洞。
2.3筛选输入信息
对用户所输入的信息进行必要的筛选是保证网站信息安全的必要手段,也是对输入的验证信息进行合法化的过程。相关网站工作者通过对用户所输入的信息进行确认并筛选,这种方法可以避免一些网站病毒在未知的情况下被误用。
2.4防止注入sql
在目前来讲,网络的系统注入方式较为丰富,但在注入方面都存在一个共同点,就是利用程序缺乏必要的过滤手段这个缺点,以此来达到非法获取用户信息的目的。所以,要防止非法语句的注入,就要对查询语句进行必要的筛选及过滤。通常意义上,是利用计算机运行程序里的函数通过正规的表达式来进行常用语句的匹配,并对相应的语句进行必要的筛选及过滤。所以,只要利用了过滤函数,就可以在较大程度上避免出现利用注入语句的方式来入侵网站的现象,从而达到保护网站用户信息安全的目的。
3结语
本文对PHP网站设计中几种常见的信息安全漏洞进行了探索与分析,并对如何加强PHP网站设计的信息安全进行了研究与探讨。在对网站信息安全进行维护的具体过程中,并没有一个固定的模式。因此,我们需要具体情况具体分析,灵活运用相关措施来保护用户的隐私,从而在一定程度上维护网站用户的信息安全。
【PHP安全:杜绝弱口令】相关文章:
PHP安全性漫谈04-15
php正则去掉php注释03-06
学习php编程语言 php常用英语单词03-07
php语言简介04-11
php语言的优势04-12
自学PHP方法04-15
PHP缓存技术05-01
PHP基本语法04-29
php什么是PEAR03-05