防Web攻击的登陆窗口程序设计

元昊

摘要

随着网络的逐步发展，网络使用的安全性越来越被大家所关注，网络黑客以及病毒的存在让许多企业、政府部门甚至国家深受其害，造成了巨大的经济损失。如何减少网络攻击，增强安全性是研究人员需要展开研究的重点。登录系统的首要入口是登录窗口，这是黑客主要的攻击对象。因此，需要有一个防攻击的登录窗口，只有登录窗口的安全得到保障，才能保證整个系统的正常运行本文通过多个方面对登录窗口的防攻击设计进行了合理地探究。

【关键词】网络安全 登录窗口 Web攻击

现阶段，网络系统Web被直接部署于网络之上，登录网络就可以访问，具有一定的公开性，导致网络安全成为很多人担心的问题。目前，存在的系统绝大部分都涉及到登录系统，攻击者通过对登录窗口攻击的侵入系统进行破坏，以达到自己的目的。本文通过程序设计的角度对防Web攻击登录窗口进行探究，对于其中等需要极高安全性要求的网络，除了系统本身所提供的Web外，还需要外界的硬件来保障系统的安全性。

1 关于Web安全性的研究

1.1 通过外界硬件设备提高安全性

对于相关平台模块的用户在进行登录时，将外界硬件设备用相关的用户信息以动态口令等技术来保证登录用户信息的真实有效，但只适合用于对安全性要求极高的系统，对于普通的系统而言，让使用者使用时配置相关的硬件是十分不现实的。

1.2 通过软件设计提高安全性

将算法作为基础，通过混合性加密来实现安全性的提高。在安全范围内减少登录次数，做到登陆一次就可以处理复杂的业务。

1.3 程序与数据库设置相互配合

通过将特殊字符替换的形式，将数据库账户权限进行合理、有效的分配，保证其合法性，对于敏感的数据，可以通过错误处理的方式来保证安全性。

2 程序的设计

登录窗口设计要尽量做到全面，攻击者不会用所有的方法进行试探，仅通过部分重要的要素进行攻击。在下文列举了几种常见的攻击方式以及与之相对应的处理方法。

2.1 防SQL注入进行系统攻击

在现有的登录程序中大部分都是直接填写SQL语句，这种登录方式给了攻击者可乘之机，攻击者只需要在用户名、密码框内随意填写，在验证码处填写特定的语句，验证即可通过。攻击者就可以随意侵入系统，并窥探使用者的信息，并且，一般SQL注入不会引起防火墙的拦截，攻击者更加容易对系统正常使用者进行攻击。与此同时，预防这种系统攻击的方式有以下几点：更换验证方式;软件开发者提高警惕性，对常见的SQL植入有一定的防范警惕性;过滤特殊符号;绑定变量，使用预编译语句等。

2.2 控制输入密码的次数

随着网络的发展，黑客使用配置比较高的电脑进行破解密码，运行速度非常快，在很短的时间内就可以破译出密码，但是尝试的次数较多，所以控制输入密码的次数就显得尤为重要，如果将输入密码的次数控制在5次以内，便可以大大减少被破解的几率，而且不会影响到正常使用用户的登录。

2.3 限制同一IP重复申请账号

同一IP多次进行申请也是一种攻击形式，当同一IP申请的次数过多时，网络后台应限制该用户再进行申请。同时，浏览器应该记录下该用户申请注册的有关信息，以及后台统计计算申请的次数。

2.4 其它操作

包括判断用户在线与否，false在线才能进行下一步注册;核实身份等有效信息，判断是否已经在几率名单内;重要信息需要在登录后写入注册表;对使用注册者使用键盘回车键进行控制;提供多种语言服务，为外籍人员注册提供方便;添加不同种类的验证码，在登录时进行验证;客户端和服务器进行双验证，防止攻击者黑客控制客户端程序;OS注入攻击，当使用者使用咨询表单的发送时，该功能可将用户的咨询邮件按己填写的对方邮箱地址发送过去，给攻击者提供攻击的目标;跨站点请求伪造攻击，跨站点请求伪造攻击是攻击榜排名的第八名，它是指攻击者登录了普通用户的账号，访问有恶意代码的网站，同时控制恶意代码对其它网站进行攻击，利用受信任的身份请求一些平时不允许的操作，这种攻击在攻击中属于被动攻击。

对于这种恶性的攻击，使用者需要加快防病毒软件的更新速度，经常更新反病毒程序，当恶性软件进行入侵时，防病毒程序会进行拦截，防止使用者受到攻击。开发者对于这种攻击可以使用函数，将特殊字符转换成HTML编码，过滤输出的变量。做到定期更改sessionid和更改session的名称;关闭透明化sessionid;在后台过滤只能从cookie检查session id，并且使用URL传递隐藏参数。对于后台监管者可以采用了第三方的认证服务，防止攻击者利用DNS欺骗用户的攻击方式。为防止暴力破解采用了验证码技术圈和制定登录规则，在登录信息传输过程中，采用加密措施保证传输的安全性。存储密码时不采用存储明文的形式，也不仅仅用加密算法MD5或者SHA之类的算法进行加密，而是采用AES算法对密钥明文MD5的密钥加密。AES密钥分成两部分：一部分动态生成单独存储在一张表里;一部分为固定存储值，存储在配置文件里，有效抵御相关风险。通过Web来识别用户身份，不仅防止了非法用户的登录，而且提高了登录过程的可靠性。

3 结束语

总而言之，登录系统的首要入口是登录窗口，这是黑客主要的攻击对象。当创始者开发Web程序时，应当格外注重登录窗口的设计、做好安全性的测试，虽然不能免于所有攻击者的攻击，但可以在大部分时候拦截攻击者的攻击，保障使用者账号的安全，在很大程度上保证了Web窗口的安全。本文从多个方面简要地论述了攻击者攻击的方式，以及相对应的应对措施。但随着网络的不断发展，本文所提出的攻击方式并不全面，本文将不断优化。

参考文献

[1]王书海，刘明生，肖众.机房管理系统用户登录认证方案设计[U].实验室研究与探索，2008，24（02）：37-38

[2]胡毅时，怀进鹏.基于Web服务的单点登录系统的研究与实现[J].北京航空航天大学学报，2004，30（03）：236-239.

[3]谭良，周明天.一种新的用户登录可信认证方案的设计与实现[J].计算机应用，2007.27（05）：1070-1072.