Web安全與防護 （微課版） 課件 02-1 項目二 任務(wù)一登錄認證功能實現(xiàn)、02-2 項目二 任務(wù)二登錄認證漏洞形成原理

項目二

安全的登錄認證Web安全與防護本任務(wù)要點學(xué)習(xí)目標登錄認證步驟登錄頁面表單創(chuàng)建驗證碼實現(xiàn)熟悉登錄認證原理及實現(xiàn)方法。能夠?qū)崿F(xiàn)基本的登錄認證功能。任務(wù)一

登錄認證功能實現(xiàn)目錄CONTENTS01/了解登錄認證02/創(chuàng)建登錄頁面03/判斷登錄狀態(tài)04/增加驗證碼了解登錄認證01什么是登錄認證？登錄認證是在Web應(yīng)用程序中實現(xiàn)身份驗證和授權(quán)的過程。在用戶嘗試登錄到Web應(yīng)用程序時，登錄認證將驗證用戶的身份并授予相應(yīng)的訪問權(quán)限。通常，登錄認證包括兩個步驟：身份驗證和授權(quán)。身份驗證是確定用戶是否是所聲稱的用戶的過程。通常，在Web應(yīng)用程序中，這是通過用戶名和密碼的組合來驗證用戶的身份。用戶提供用戶名和密碼，然后Web應(yīng)用程序?qū)z查這些憑據(jù)是否與已知的憑據(jù)匹配。如果驗證成功，用戶就被認為是合法用戶。授權(quán)是在確定用戶的身份后確定用戶的訪問權(quán)限。授權(quán)通常基于用戶的身份和角色，確定用戶可以訪問哪些資源。授權(quán)可以限制用戶訪問特定頁面、數(shù)據(jù)或功能。了解登錄認證01驗證用戶

憑據(jù)創(chuàng)建登錄頁面確認用戶

權(quán)限登錄狀態(tài)存儲在Web應(yīng)用程序中，常用的身份驗證方法包括基于用戶密碼的身份驗證、基于證書的身份驗證、基于令牌的身份驗證等。這些方法各有優(yōu)缺點，根據(jù)應(yīng)用程序的需求和安全要求選擇合適的身份驗證方法非常重要。頁面允許用戶輸入他們的用戶名和密碼使用數(shù)據(jù)庫中存儲的憑據(jù)信息根據(jù)用戶的角色和訪問權(quán)限確定用戶的訪問權(quán)限后續(xù)頁面訪問時可以使用此狀態(tài)進行授權(quán)創(chuàng)建登錄頁面02在實現(xiàn)登錄認證的第一步是創(chuàng)建登錄頁面，該頁面允許用戶輸入他們的用戶名和密碼。通過HTML代碼創(chuàng)建用于用戶輸入的基本表單包含：用戶名輸入框密碼輸入框驗證碼輸入框登錄按鈕

通過按提交按鈕將用戶輸入的信息發(fā)送至check.php頁面檢查用戶輸入是否正確。完整代碼見教材2.1.2admin/login.php判斷登錄狀態(tài)03為了防止未授權(quán)訪問，用戶在訪問index.php時應(yīng)該判斷用戶是否登錄并且為管理員用戶。在博客系統(tǒng)中admin/index.php中增加如下代碼：該代碼的功能是引入admin/header.php文件。我們在該文件中判斷登錄用戶是否為管理員，如果不為管理就跳轉(zhuǎn)到登錄頁防止非管理員訪問后臺頁面。代碼如下：完整代碼見教材2.1.3當(dāng)$_SESSION['is_admin']為False的時候說明用戶不為管理員則跳轉(zhuǎn)到admin/login.php頁面強制要求登錄才能訪問。admin/index.phpadmin/header.php判斷登錄狀態(tài)03完整代碼見教材2.1.3admin/check.php增加對用戶提交表單信息的校驗，以確認用戶身份信息是否正確，首先從請求中獲取用戶輸入的用戶名、密碼以及驗證碼首先獲取了用戶通過表單提交的用戶名和密碼，并進行了初步的驗證，如果其中有任意一個為空，則直接輸出錯誤提示信息并跳轉(zhuǎn)回登錄頁面。然后獲取了用戶通過表單提交的驗證碼，并將其轉(zhuǎn)換為小寫形式并對驗證碼進行驗證，如果為空或不正確，則輸出錯誤提示信息并跳轉(zhuǎn)回登錄頁面。接下來將用戶輸入的密碼進行了MD5加密。通過SQL語句查詢數(shù)據(jù)庫，以檢查用戶名是否存在。如果存在，則再次查詢數(shù)據(jù)庫，以檢查用戶名和密碼是否匹配。如果匹配成功，則將會話中的$is_admin變量設(shè)置為true，并輸出登錄成功提示信息，并跳轉(zhuǎn)到主頁面。如果匹配失敗，則輸出相應(yīng)的錯誤提示信息，并跳轉(zhuǎn)回登錄頁面。增加驗證碼04驗證碼（CAPTCHA）是一種計算機程序，用于判斷訪問網(wǎng)站的用戶是否是人類或惡意程序。驗證碼系統(tǒng)可以生成不同類型的圖形、文字或聲音的測試來識別用戶身份，以幫助網(wǎng)站防止自動化攻擊和濫用。驗證碼根據(jù)使用的技術(shù)和實現(xiàn)方式的不同，可以分為以下幾種類型：圖像驗證碼數(shù)學(xué)計算驗證碼聲音驗證碼滑動驗證碼驗證碼的主要目的是保護網(wǎng)站和用戶的信息免受惡意攻擊和濫用。許多自動化攻擊和濫用都是通過機器人和腳本來進行的，這些腳本可以自動化訪問網(wǎng)站并進行各種活動，例如發(fā)送垃圾郵件、惡意軟件分發(fā)、網(wǎng)絡(luò)爬蟲等等。增加驗證碼04以圖像驗證碼為例增加驗證碼功能，防止惡意程序攻擊。在博客系統(tǒng)源文件admin/login.php中增加如下代碼：admin/login.php在用戶訪問該頁面時去請求admin/code.php頁面，獲取一個新的驗證碼。在博客系統(tǒng)源文件admin/code.php中實現(xiàn)了如下邏輯：

首先，通過調(diào)用random()函數(shù)生成一個4位隨機字符串，用于作為驗證碼。然后，定義了驗證碼圖片的寬度和高度，以及需要創(chuàng)建的圖層的圖片格式為image/png。接著，創(chuàng)建一個指定大小的圖層，設(shè)置背景色、模糊點顏色和字體顏色。通過隨機繪制許多點來創(chuàng)建背景的模糊效果。使用imagestring函數(shù)將驗證碼字符串繪制到圖像上，同時在圖像周圍繪制矩形。最后，輸出圖像并銷毀圖層對象，將驗證碼字符串存儲到PHPSession變量$_SESSION['vertify']中以供后續(xù)驗證使用。完整代碼見教材2.1.4課堂實踐一、任務(wù)名稱：登錄認證功能實現(xiàn)二、任務(wù)內(nèi)容：編輯博客系統(tǒng)源碼實現(xiàn)登錄認證功能，包含表單頁面中用戶名、密碼、驗證碼的交互以及后端校驗邏輯。三、工具需求：PHP開發(fā)環(huán)境四、任務(wù)要求：完成實踐練習(xí)后，由老師檢查完成情況。課堂思考一、服務(wù)端是如何保存用戶登錄狀態(tài)的？二、滑動驗證碼是怎么實現(xiàn)的？三、為什么要用MD5加密用戶提交的密碼？四、用戶提交的表單信息為什么存儲在$POST變量中？五、登錄認證流程中有哪些可能存在的問題？六、除了通過Session可以保存用戶認證狀態(tài)還有哪些？課后拓展：登錄認證策略調(diào)查請同學(xué)們通過互聯(lián)網(wǎng)查找還有哪些登錄認證的方式，分析這些登錄認證的業(yè)務(wù)流程，了解不同認證方式優(yōu)缺點。THANK

YOUToBeContinued項目二

安全的登錄認證Web安全與防護本任務(wù)要點學(xué)習(xí)目標登錄認證漏洞的概念登錄認證漏洞的分類登錄認證漏洞的危害熟悉登錄認證漏洞的類型。掌握登錄認證漏洞的特點。任務(wù)二

登錄認證漏洞形成原理目錄CONTENTS01/登錄認證漏洞的概念02/登錄認證漏洞的分類03/登錄認證漏洞的危害登錄認證漏洞的概念01什么是登錄認證漏洞？登錄認證是指在訪問系統(tǒng)或者應(yīng)用程序時，需要用戶提供身份證明以驗證其身份。通常，用戶需要提供用戶名和口令來進行身份驗證，以便訪問其個人信息或進行某些特定的操作。在現(xiàn)代網(wǎng)絡(luò)應(yīng)用中，登錄認證是一種重要的安全措施，用于保護用戶的隱私和數(shù)據(jù)。然而，由于軟件開發(fā)人員的疏忽或安全性設(shè)計不足，登錄認證漏洞可能會導(dǎo)致攻擊者突破安全防線，獲取敏感信息或者執(zhí)行惡意操作。登錄認證漏洞是指攻擊者可以利用應(yīng)用程序的漏洞來繞過正常的身份驗證程序，從而成功登錄系統(tǒng)或者應(yīng)用程序，獲得未經(jīng)授權(quán)的訪問權(quán)限。CSRF會話劫持SQL注入攻擊者利用會話管理漏洞，獲取用戶的會話標識符，從而偽裝成合法用戶并訪問受保護的資源。攻擊者利用用戶在未注銷或者未超時的情況下的會話狀態(tài)，向目標網(wǎng)站發(fā)起欺騙性請求，導(dǎo)致目標網(wǎng)站執(zhí)行非授權(quán)操作。攻擊者通過在登錄表單中輸入特定的SQL查詢語句，繞過正常的身份驗證程序，直接訪問數(shù)據(jù)庫中的數(shù)據(jù)。攻擊者通過偽裝成合法用戶，以獲取其用戶名和口令的方式進行攻擊，例如欺騙用戶提供登錄憑據(jù)。密碼猜測攻擊者通過暴力破解、字典攻擊等方式嘗試多個用戶名和口令的組合，以找到正確的登錄憑證。社會工程學(xué)登錄認證漏洞的分類0101數(shù)據(jù)泄露：攻擊者可以通過繞過身份驗證程序，訪問未經(jīng)授權(quán)的數(shù)據(jù)，從而獲取敏感信息；03損害聲譽：如果登錄認證漏洞被利用，可能會導(dǎo)致用戶的隱私數(shù)據(jù)遭到泄露，嚴重的話可能會導(dǎo)致聲譽受損；05惡意篡改：攻擊者可以利用登錄認證漏洞修改用戶數(shù)據(jù)或者網(wǎng)站內(nèi)容，導(dǎo)致用戶的數(shù)據(jù)或者網(wǎng)站內(nèi)容被篡改，給用戶和網(wǎng)站運營者帶來不必要的損失；02資源濫用：攻擊者可以利用登錄認證漏洞獲得非授權(quán)訪問權(quán)限，并對系統(tǒng)或者應(yīng)用程序進行惡意操作，例如篡改數(shù)據(jù)、刪除文件、發(fā)布不當(dāng)內(nèi)容等；04竊取用戶信息：攻擊者可以利用登錄認證漏洞獲取用戶賬號和密碼等敏感信息，從而進一步竊取用戶個人信息、財務(wù)信息等；06后門攻擊：攻擊者可以利用登錄認證漏洞在系統(tǒng)中留下后門，以便在未來進行更多的攻擊和操作。登錄認證漏洞的分類01課堂實踐一、任務(wù)名稱：分析登錄認證流程中有哪些邏輯漏洞二、任務(wù)內(nèi)容：分析登錄認證流程中可能出現(xiàn)的邏輯漏洞，包括但不限于密碼猜測、暴力破解、SQL注入、會話固定、跨站腳本攻擊等。三、工具需求：瀏覽器四