网络安全在实际中的运用.doc

网络安全在校园网中的运用 软件121 金凯 1102052019 1.背景 我个人曾经做过一款方便通大学生登录cmcc-edu的网络客户端，在做这个客户端的过程中了解了一些网络安全的知识。比如cmcc重定向跳转、客户端加密码的生成，用户信息本地加密存储等。现以此为背景谈谈网络安全在我校校园网系统中的运用。 实际运用 2.1 移动无线登录界面 众所周知，我们要登录cmcc-edu的时候必须要先连接wifi，然后打开一个正规网页（如：“”），最后网页在加载的过程中会跳转到真正的登录界面。 不知道有没有人思考过，为什么移动公司没有提供一个固定的网站来作为登录界面呢？我们每次跳转的登录界面在我们看起来都是一样的啊，为什么非要跳转来跳转去，浪费我们的时间？ 其实，这里面就涉及了移动公司加密的问题了。其实我们每次打开一个正常网页后移动的网络就会得到一个网页的请求，在得到请求后，移动不会正常展示那个网页，而是会判断这个用户是否登录（是否存在session），如果用户没有登录，那么就会跳出一个随机生成的登录界面（注意：随机生成）。为什么说它是随机生成的呢？ 我们看移动cmcc-edu的登录界面的源码，我们可以发现，在里面有这么一个属性。 input type=hidden name=paramStr id=paramStr value=UGGOtheTLCct/ny28x2ZSnsp3OUYpCY3jXdcIcjWPrAm2E/vX1NVB5OR6BHYWLpXoWdMlp6YzOGnISbYzCOSKwbYmrTf8G2N5ZYyzClAIJqt74mTNGZBfVaKIH313DWBvXbjckldlcmglGrhudb4XZOpBLti0Q4iu9jVoMWpuYyM5QIDZYnhn9qX9O3nCzzDBkXRN21b4V3+cw6rqkYZvSJefXYYdcwLU+xYM/wZiLLuxe0Rj6S9htAQGIRJG+rtXNi9Hpm6pUFQ6Phl2c4AOyCmnHH2mRVTlDkhiOvXL6tfic5xPwFbq0n9VNA1WZcUTBLTa5+p2XNu9waY8oDGt+4ExH4t5BvhYATTpc/TFympMyltv6+wYwzN8omnpc4UGQlu2hCE02xrO6vHksHt+gn0U3FtDIN9r7OorOlDy/08Q/V9wKXaCw== 上面的这一串属性就是网页随机生成的，这个生成的途径和算法我们不得而知，我们只是知道每个网页这个码是完全不同的，这也是我为何称其为随机生成的网页的原因。 除了上面红框括起来的码之外，其余的代码都是完全一致的。这个码根据我的分析可能是结合了当前的时间和跳转的网页来生成的，这个码作为一个有效访问的标志来存放在登录界面中。这样一旦用户登录，这个码将会被提交，表明用户的身份是有效的。所以这个安全的随机码可以完全防止移动的服务器被恶意攻击，也就是说一般的机器攻击在移动公司的上网系统的流程下是完全无效的。移动公司靠这个就能直接鉴别登录的肯定是人类，而非机器。 当然我们可以通过其他的途径进行攻击。这种攻击方式其实很简单粗暴，换句话来说就是得不偿失。用代码模拟加载一个浏览器，然后解析跳转后到登录界面的数据，得到这个随机码，利用这个随机码和用户登录名、密码的组合进行访问服务器。这种做法虽然可取，甚至还可以跳过移动的验证码，但是极为费时费力，完全达不到给服务器带来压力的程度。 在我们登录成功后，我们还会得到一个动态生成的界面。这个动态生成的说法仍旧是体现在网页源代码中。我们再次查看网页源代码，我们可以发现这里又出现了一个加密的码串。 上述的码串是可以直接解析出手机号码的，这个对于登出/下线是很重要的。至于怎么解析出手机号码我在此就不多讲了，因为会涉及到我账户的隐私。 这个伪随机码加密了用户的手机号，而且还可以给服务器作为下线的属性值，十分有用。我们也能发现这里的码和登录界面的码很是相似，我有理由怀疑他们用的都是一个加密途径。至于破解的方式我目前毫无头绪。但我们完全可以利用这个码来做个下线系统，用程序解析登录成功的界面，然后提取这个加密码。提交的时候直接将其作为属性提交给移动的服务器即可。 2.2 校内网登录界面 校内网的登录界面就简单很多了，没有验证码，没有随机码，有固定的post地址，但我们不能忽视的是它对于我的上网密码做了加密处理（MD5）。 现在我们来看看他是如何加密的。首先，校园网将我们的登录密码用MD5加密，这个加密设定了开始和结束，表明了加密成8位密文。 下面是一组测试数据，我们可以很明显的看见加密后的结果。 原来的密码是：123456789 加密为：323b453885f5181f 可见，学校在校园网的安全性上还是做了一定的保证的。 2.3 手机客户端登