2012年5月中國(guó)軟件評(píng)測(cè)中心北京大學(xué)互聯(lián)網(wǎng)安全技術(shù)北京市重點(diǎn)實(shí)驗(yàn)室 ,目錄前言 .............................................

2012年5月

中國(guó)軟件評(píng)測(cè)中心北京大學(xué)互聯(lián)網(wǎng)安全技

術(shù)北京市重點(diǎn)實(shí)驗(yàn)室

目錄

前言 ................................................................................................................................. 4 測(cè)評(píng)范圍與樣本 ............................................................................................................. 6

樣本選擇與獲取 ................................................................................................................................................. 6 測(cè)評(píng)范圍與測(cè)評(píng)樣本 ......................................................................................................................................... 6

測(cè)評(píng)指標(biāo) ......................................................................................................................... 7

指標(biāo)設(shè)計(jì) ............................................................................................................................................................. 7 口令的傳輸形態(tài)及對(duì)應(yīng)安全性分析 ............................................................................................................. 8 用戶名的傳輸形態(tài)及安全性分析 ................................................................................................................. 9 傳輸信道及對(duì)應(yīng)安全性 ................................................................................................................................. 9 請(qǐng)求提交方法 ............................................................................................................................................... 10 口令處理模式分類及安全性標(biāo)定 ................................................................................................................... 10

測(cè)評(píng)流程和方法 ........................................................................................................... 13

測(cè)評(píng)目的 ........................................................................................................................................................... 13 測(cè)評(píng)原則 ........................................................................................................................................................... 13 測(cè)評(píng)組織 ........................................................................................................................................................... 14 測(cè)評(píng)方法 ........................................................................................................................................................... 14 測(cè)評(píng)流程 ........................................................................................................................................................... 14 調(diào)研階段 ....................................................................................................................................................... 14 分類收集樣本 ............................................................................................................................................... 15 實(shí)施測(cè)評(píng) ....................................................................................................................................................... 15 分析測(cè)評(píng)結(jié)果 ............................................................................................................................................... 15

測(cè)評(píng)結(jié)果與分析 ........................................................................................................... 16

網(wǎng)站用戶口令處理整體情況 ........................................................................................................................... 16 各類型網(wǎng)站用戶口令處理情況 ....................................................................................................................... 19 門戶類網(wǎng)站用戶口令處理情況 ................................................................................................................... 19 郵箱類網(wǎng)站用戶口令處理情況 ................................................................................................................... 20 微博類網(wǎng)站用戶口令處理情況 ................................................................................................................... 21 博客類網(wǎng)站用戶口令處理情況 ................................................................................................................... 22 電子商務(wù)類網(wǎng)站用戶口令處理情況 ........................................................................................................... 22 招聘類網(wǎng)站用戶口令處理情況 ................................................................................................................... 23 婚戀類網(wǎng)站用戶口令處理情況 ................................................................................................................... 24

游戲類網(wǎng)站用戶口令處理情況 ................................................................................................................... 25 論壇類網(wǎng)站用戶口令處理情況 ................................................................................................................... 26

主要結(jié)論及建議 ........................................................................................................... 28 附件一

附件二 中國(guó)軟件評(píng)測(cè)中心智能移動(dòng)終端測(cè)試實(shí)驗(yàn)室介紹 . ................................. 30 北京大學(xué)互聯(lián)網(wǎng)安全技術(shù)北京市重點(diǎn)實(shí)驗(yàn)室介紹 . ................................. 31

前言

隨著互聯(lián)網(wǎng)的發(fā)展，以電子商務(wù)、娛樂、購(gòu)物、社交等為基礎(chǔ)的各類公共網(wǎng)站已經(jīng)融入到人們生活的各個(gè)方面。2012年1月，中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心（CNNIC ）發(fā)布《第29次中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展情況統(tǒng)計(jì)報(bào)告》，《報(bào)告》顯示，截至2011年底，中國(guó)網(wǎng)民規(guī)模達(dá)5.13億，網(wǎng)站域名達(dá)到775萬(wàn)。

一方面，各種各樣的網(wǎng)站給人們帶來便利與精彩的生活；另一方面，網(wǎng)站存儲(chǔ)著大量和用戶個(gè)人信息相關(guān)的應(yīng)用數(shù)據(jù)，一旦數(shù)據(jù)泄漏，就會(huì)使用戶遭受經(jīng)濟(jì)、名譽(yù)等方面的損失?！坝脩裘?口令”是網(wǎng)站普遍采用的一種認(rèn)證方式，它是網(wǎng)站允許用戶進(jìn)行個(gè)人信息訪問、操作的一道重要關(guān)卡。保證用戶口令的機(jī)密性是網(wǎng)站進(jìn)行用戶個(gè)人信息隱私保護(hù)的重要一方面。

然而，2011年底的CSDN “泄密門”等事件使得大量用戶口令以明文形式被泄露，暴露出一些大型網(wǎng)站的開發(fā)/運(yùn)營(yíng)者在用戶口令處理方面安全意識(shí)薄弱。并且，部分互聯(lián)網(wǎng)用戶在不同網(wǎng)站注冊(cè)帳號(hào)時(shí)習(xí)慣采用相同的用戶名和口令，因此一旦用戶在某網(wǎng)站的口令被泄漏，他在其它網(wǎng)站上的數(shù)據(jù)也會(huì)遭到一定程度的“連帶式泄漏”：黑客可以利用該口令嘗試登錄其它網(wǎng)站，一旦登錄成功，便可以以受害用戶的身份在網(wǎng)站進(jìn)行信息讀取和操作，黑客甚至可以直接用這些口令成功登錄用戶的網(wǎng)上銀行。因此，保證用戶口令的機(jī)密性，不單單需要一些大型網(wǎng)站增強(qiáng)用戶口令處理的安全意識(shí)，而是需要所有互聯(lián)網(wǎng)公共網(wǎng)站對(duì)用戶口令安全地進(jìn)行處理。 網(wǎng)站對(duì)用戶口令的處理包括三個(gè)階段，即用戶在頁(yè)面上輸入口令后：1）客戶端的頁(yè)面控件、頁(yè)面腳本對(duì)口令的處理；2）傳輸信道對(duì)口令的傳輸；3）服務(wù)器端對(duì)口令的存儲(chǔ)/認(rèn)證。 為了督促網(wǎng)站保護(hù)個(gè)人信息，提高整體實(shí)力，規(guī)范互聯(lián)網(wǎng)公共網(wǎng)站對(duì)用戶口令的處理，中國(guó)軟件評(píng)測(cè)中心聯(lián)合北京大學(xué)互聯(lián)網(wǎng)安全技術(shù)北京市重點(diǎn)實(shí)驗(yàn)室，本著公開、公平、公正的原則，抽取了電子商務(wù)、招聘類、婚戀類、游戲類、論壇、博客等9大類共計(jì)100個(gè)網(wǎng)站，本著不影響網(wǎng)站正常運(yùn)行的原則，本次測(cè)評(píng)不涉及服務(wù)器端用戶口令存儲(chǔ)方式，而是采用基于客戶端分析的外部測(cè)評(píng)方式，對(duì)客戶端處理口令、通信信道傳輸口令這兩個(gè)階段的安全性進(jìn)行測(cè)評(píng)，按照本次設(shè)定的測(cè)評(píng)標(biāo)準(zhǔn)，將網(wǎng)站的安全性歸類為原始口令明文傳輸、原始口令編碼傳輸、原始口令加密傳輸、口令散列值明文傳輸、口令散列值密文傳輸?shù)炔煌踩?jí)別。

本次測(cè)評(píng)客觀地反映了互聯(lián)網(wǎng)公共網(wǎng)站對(duì)于用戶口令處理的現(xiàn)狀和問題，以期引起網(wǎng)民用戶、網(wǎng)站開發(fā)者、網(wǎng)站運(yùn)營(yíng)者、政府主管部門等對(duì)于用戶口令處理安全性的重視，希望能夠通過各方面努力，加強(qiáng)個(gè)人信息保護(hù)，營(yíng)造一個(gè)健康有序的互聯(lián)網(wǎng)環(huán)境。

由于時(shí)間原因，本次評(píng)測(cè)工作難免有疏漏之處，敬請(qǐng)業(yè)界專家能多提寶貴意見，以便我們?cè)谌蘸蟮臏y(cè)評(píng)工作中改進(jìn)與完善，更好地服務(wù)于中國(guó)互聯(lián)網(wǎng)產(chǎn)業(yè)。

測(cè)評(píng)范圍與樣本

樣本選擇與獲取

本次測(cè)評(píng)是針對(duì)網(wǎng)站用戶口令處理進(jìn)行的測(cè)評(píng)，旨在通過對(duì)抽樣網(wǎng)站進(jìn)行測(cè)評(píng)來了解互聯(lián)網(wǎng)公共網(wǎng)站對(duì)于用戶口令處理的現(xiàn)狀和問題，以期引起網(wǎng)民用戶、網(wǎng)站開發(fā)者、網(wǎng)站運(yùn)營(yíng)者、政府主管部門等對(duì)于用戶口令處理安全性的重視，希望能夠通過各方面努力，加強(qiáng)個(gè)人信息保護(hù)，營(yíng)造一個(gè)健康有序的互聯(lián)網(wǎng)環(huán)境。

通過綜合分析網(wǎng)民的互聯(lián)網(wǎng)使用習(xí)慣得知，門戶類、電子商務(wù)、招聘、婚戀、游戲、論壇博客等是網(wǎng)民日常訪問的主要網(wǎng)站類型，并且這些網(wǎng)站普遍涉及用戶個(gè)人信息的收集，且涉及的個(gè)人信息范圍較大，真實(shí)信息較多。若用戶在這些網(wǎng)站上的口令被泄露，將會(huì)對(duì)用戶的個(gè)人生活產(chǎn)生較大影響。本次測(cè)評(píng)選擇9類共計(jì)100個(gè)網(wǎng)站作為抽測(cè)樣本。抽取的網(wǎng)站部分參照中國(guó)軟件評(píng)測(cè)中心《2012年網(wǎng)站個(gè)人信息保護(hù)政策測(cè)評(píng)報(bào)告》中的抽樣網(wǎng)站。

本次測(cè)評(píng)將網(wǎng)站服務(wù)器端當(dāng)作黑盒，全部數(shù)據(jù)來自于在瀏覽器內(nèi)部偵聽頁(yè)面與服務(wù)器端的交互過程以及手工分析頁(yè)面控件及相關(guān)客戶端腳本對(duì)口令的處理。

測(cè)評(píng)范圍與測(cè)評(píng)樣本

本次測(cè)評(píng)涉及的網(wǎng)站包括電子商務(wù)、招聘類、婚戀類、游戲類、論壇、博客類等9種類型， 共計(jì)100個(gè)網(wǎng)站，如表1-1所示：

測(cè)評(píng)指標(biāo)

指標(biāo)設(shè)計(jì)

網(wǎng)站對(duì)用戶口令的處理包括三個(gè)階段，即用戶在頁(yè)面上輸入口令后：1）客戶端的頁(yè)面控件、頁(yè)面腳本對(duì)口令的處理；2）傳輸信道對(duì)口令的傳輸；3）服務(wù)器端對(duì)口令的存儲(chǔ)/認(rèn)證。 客戶端、傳輸、服務(wù)器端均存在敵手，本次測(cè)評(píng)主要關(guān)注網(wǎng)站對(duì)用戶口令的處理，不考慮客戶端可能存在的keylogger 等敵手，各個(gè)階段的處理方式及其安全弱點(diǎn)見表2-1、表2-2、表2-3。 客戶端處理方式

直接將口令明文提交 安全弱點(diǎn)（或敵手模型） 黑客嗅探到通訊包后，直接提取出口令明文；

服務(wù)器端直接得到用戶口令；

服務(wù)器端木馬、企業(yè)間諜直接獲取口令明文；

將口令編碼后提交請(qǐng)求 黑客嗅探到通訊包后，嘗試解編碼；

服務(wù)器端解編碼后，得到用戶口令，被服務(wù)器端木馬、

企業(yè)間諜截獲；

服務(wù)器端木馬、企業(yè)間諜截獲口令編碼，嘗試解編碼；

將口令加密后提交請(qǐng)求 黑客嗅探到通訊包后，嘗試解密口令密文；

服務(wù)器端解密后，得到用戶口令，被服務(wù)器端木馬、

企業(yè)間諜截獲；

服務(wù)器端木馬、企業(yè)間諜截獲口令密文，嘗試解密口

令密文；

提交口令散列值 黑客嗅探到通訊包后，嘗試使用彩虹表查找出原文；

服務(wù)器端木馬、企業(yè)間諜截獲口令hash ，嘗試使用彩

虹表查找出原文；

表2-1 客戶端對(duì)口令的處理方式及安全弱點(diǎn)

本著不影響網(wǎng)站正常運(yùn)行的原則，本次測(cè)評(píng)不涉及服務(wù)器端用戶口令存儲(chǔ)方式，而是采用基于客戶端分析的外部測(cè)評(píng)方式，將網(wǎng)站服務(wù)器端當(dāng)作黑盒，全部數(shù)據(jù)來自于在瀏覽器內(nèi)部偵聽頁(yè)面與服務(wù)器端的交互過程以及手工分析頁(yè)面控件及相關(guān)客戶端腳本對(duì)口令的處理，對(duì)客戶端口令處理、通信信道口令傳輸這兩個(gè)階段的安全性進(jìn)行測(cè)評(píng)，來評(píng)測(cè)網(wǎng)站對(duì)于網(wǎng)絡(luò)嗅探、企業(yè)間諜、服務(wù)器端木馬等敵手的脆弱性，具體涉及以下幾個(gè)方面：

口令的傳輸形態(tài)及對(duì)應(yīng)安全性分析

用戶在頁(yè)面中輸入口令后，經(jīng)過客戶端頁(yè)面中腳本邏輯的處理，口令的形態(tài)可以是原文/編碼/密文/hash。

原文

原文是一種直接可見的形態(tài)。

黑客通過網(wǎng)絡(luò)嗅探截獲通訊包后，可以直接獲得請(qǐng)求中的口令原文；服務(wù)器端可以直接得到用戶的口令原文；企業(yè)間諜、服務(wù)器端木馬可以通過劫持服務(wù)器端程序，可以直接獲得用戶

的口令原文。

● 編碼

編碼是一種字符替換、字符串壓縮處理后的形態(tài)，典型的如base64編碼等。

編碼屬于一種可逆操作。黑客可以通過對(duì)客戶端頁(yè)面中腳本邏輯的分析，來知道用戶口令做了什么樣的編碼處理，從而對(duì)網(wǎng)絡(luò)嗅探截獲到的編碼后口令進(jìn)行解編碼；服務(wù)器端木馬、企業(yè)間諜截獲口令編碼后，通過解編碼得到口令原文；服務(wù)器端解編碼后，得到口令原文，被服務(wù)器端木馬、企業(yè)間諜截獲。

● 密文

密文是一種可逆的形態(tài)，根據(jù)解密密鑰和加密密鑰是否一樣具體分為對(duì)稱加密和非對(duì)稱加密。

黑客可以嘗試對(duì)嗅探到的通訊包中的口令密文進(jìn)行破解；服務(wù)器端木馬、企業(yè)間諜截獲口令密文后，嘗試破解得到口令原文；服務(wù)器端用解密密鑰解密，得到口令原文，被服務(wù)器端木馬、企業(yè)間諜截獲。

● Hash

hash 函數(shù)具有單向性，是一種相對(duì)安全的方式。

黑客嗅探到通訊包并得到口令hash 后，嘗試使用彩虹表查找出原文。

服務(wù)器端木馬、企業(yè)間諜截獲口令hash ，嘗試使用彩虹表查找出原文。

用戶名的傳輸形態(tài)及安全性分析

用戶名作為用戶的身份標(biāo)識(shí)，也是一種用戶隱私數(shù)據(jù)，加之現(xiàn)在的網(wǎng)站都普遍使用郵箱作為用戶名，一旦用戶名（郵箱）泄露，黑客可以向這些郵箱發(fā)送垃圾郵件，影響人們的正常生活。因此，用戶名也應(yīng)該以一種相對(duì)機(jī)密的形態(tài)傳輸，用戶名的各種形態(tài)及其安全性與“口令的傳輸形態(tài)及對(duì)應(yīng)安全性”相似。

傳輸信道及對(duì)應(yīng)安全性

口令的傳輸信道分為常規(guī)信道和加密信道。

黑客可通過網(wǎng)絡(luò)嗅探器直接嗅探到常規(guī)信道中的通訊包。因此，常規(guī)信道安全性比較弱。http 屬于常規(guī)信道傳輸。

加密信道將服務(wù)器端和客戶端建立了一個(gè)加密通道，保證了通信的機(jī)密性，能對(duì)抗網(wǎng)絡(luò)嗅探器直接嗅探到通信包。加密信道的安全性相對(duì)較強(qiáng)，黑客需要嘗試解密來獲取通訊包。https

屬于加密信道傳輸。加密信道僅僅對(duì)抗黑客在傳輸過程對(duì)通訊包的嗅探，服務(wù)器端企業(yè)間諜、服務(wù)器端木馬仍可以得到通過加密信道傳輸過來的原文/編碼/密文/hash等形態(tài)的口令。 請(qǐng)求提交方法

客戶端與網(wǎng)站服務(wù)器通過https/http協(xié)議與服務(wù)器交互式，常用的方法是post 和get 。 用戶在網(wǎng)站進(jìn)行注冊(cè)/登錄，一般是基于表單發(fā)送請(qǐng)求，post 是一種相對(duì)規(guī)范的請(qǐng)求提交方法。

口令處理模式分類及安全性標(biāo)定

本次測(cè)評(píng)主要分析口令的傳輸形態(tài)、用戶名的傳輸形態(tài)、傳輸信道以及認(rèn)證請(qǐng)求提交方法，并根據(jù)網(wǎng)站在傳輸形態(tài)和傳輸信道的具體處理模式，依照其中所采用的不同的技術(shù)手段，對(duì)網(wǎng)站用戶口令處理模式進(jìn)行分類及安全性標(biāo)定，如表2-4：