駭客攻防與惡意程式威脅 回到資安Q&A
Q
會員登入機制要怎麼防守才安全?
我們公司網站有會員登入機制,而且有https傳輸和圖片驗證機制,這樣是不是就能阻擋駭客攻擊?
提問者: nono 提問時間: 02/06/2012
A
值班醫師回應
其實這二個機制都有破解的方式,先就HTTPS(Hypertext Transfer Protocol Secure)來看,它可以被SSLStrip的攻擊手法攻陷,舉例來說,當使用者點擊有HTTPS的登錄頁面時,SSLStrip會修改網站未加密的回應,使「HTTPS變成HTTP」,甚至可以在瀏覽器位址欄中顯示https的安全鎖logo。其過程如下:



1.設定iptables轉向HTTP傳輸SSLstrip。(iptables -t nat -A PREROUTING -p tcp destination-port 80 -j REDIRECT to-port <listenPort>)



2.開啟SSLstrip。(sslstrip.py -l <listenPort>)



3.使用ARP Spoofing攻擊。(arpspoof -i <interface> -t <targetIP> <gatewayIP>)



流程如下圖:





由此來看,有了https傳輸當然不可能完全阻擋駭客攻擊,但企業亦無須太過擔心,這種攻擊方式有限制,必須要在同一個區網環境並且使用ARP Spoofing攻擊才會成功,因此,環境上只需要鎖好IP與MAC之對應,就可以擋住這種中間人攻擊手法,也不必擔心由ARP Spoofing攻擊延伸做到DNS Spoofing的風險。

至於圖片驗證機制(CAPTCHA),一般來說可以用來阻擋以下幾種情況:



第一、列舉攻擊(登錄、註冊或密碼重置表單往往容易受到列舉攻擊,倘若沒有使用圖片驗證機制,攻擊者可以在很短的時間內得到有效帳號,或其它敏感資訊),或是暴力破解攻擊手段。



第二、在短時間內自動發送許多不需要的GET/POST請求(例如:短信/電子郵件氾濫),CAPTCHA可達到速率限制功能。



第三、自動建立線上服務的使用帳戶。



第四、出於商業促銷、騷擾或破壞目的行為。



第五、任何從應用程式大量收集或濫用敏感資訊的自動攻擊行為。


 

而圖片驗證機制的破解方式有二種,一是利用程式先將圖片經過加強對比、銳化,然後再透過圖形比對(就像掃瞄文件字體辨識 OCR/丹青之類的原理)就可以還原出圖片中的數字。相關技術細節也可參考http://caca.zoy.org/wiki/PWNtcha。二則是透過人工來做,大陸稱人工解驗證碼的工作叫做打碼任務(captcha human bypass),這可所說是另一種黑客經濟,不過這種算是比較苦力活的一種,按量計酬,打的多,就賺的多。


從會員登入機制的攻防兩方來看,圖片驗證碼只是第一道防線!防守方可以設計,當嘗試登入失敗一定次數後,自動鎖住帳號使用權限,或阻擋來源IP,讓此來源的IP無法存取服務,雖然說駭客可以再去找肉雞或是Proxy更改IP,但這總是需要一段時間。換句話說,圖片驗證機制雖然不能完全阻止駭客攻擊,但若能搭配監控制度,增加駭客攻擊時的難度,延緩駭客破解成功之時間,只要能延緩到以年為單位,大部分的駭客都會放棄對此站台進行攻擊。


沒有任何一種資安機制可以做到百分百的安全,但只要做好配套,就能提昇安全強度,以會員登入機制來看,除了HTTPS與圖片驗證碼之外,還可以搭配使用動態密碼(One-time password),增加身份認證機制的強度,比較安全的設計是,在做身份驗證時,除了帳號、密碼外,還要輸入OTP密碼,此時即使OTP被他人取得,只要前面的兩項資訊不是一起洩漏,就能降低被破解之風險。



資安急診室醫師介紹
資安技術顧問
專長於滲透測試、弱點查找,資安事件鑑識分析!4年資安工作相關經驗、資安演講時數3千小時以上,並曾擔任多場資訊安全研討會講師。
文章回應話題
發表者:CK 發表日期:07/02/2012
otp確實是個方法
我要回應此文章
您的姓名:
回應內容:
  輸入圖片數字