2012年5月中國軟件評測中心北京大學互聯(lián)網(wǎng)安全技術北京市重點實驗室 ,目錄前言 .............................................

2012年5月

中國軟件評測中心北京大學互聯(lián)網(wǎng)安全技

術北京市重點實驗室

目錄

前言 ................................................................................................................................. 4 測評范圍與樣本 ............................................................................................................. 6

樣本選擇與獲取 ................................................................................................................................................. 6 測評范圍與測評樣本 ......................................................................................................................................... 6

測評指標 ......................................................................................................................... 7

指標設計 ............................................................................................................................................................. 7 口令的傳輸形態(tài)及對應安全性分析 ............................................................................................................. 8 用戶名的傳輸形態(tài)及安全性分析 ................................................................................................................. 9 傳輸信道及對應安全性 ................................................................................................................................. 9 請求提交方法 ............................................................................................................................................... 10 口令處理模式分類及安全性標定 ................................................................................................................... 10

測評流程和方法 ........................................................................................................... 13

測評目的 ........................................................................................................................................................... 13 測評原則 ........................................................................................................................................................... 13 測評組織 ........................................................................................................................................................... 14 測評方法 ........................................................................................................................................................... 14 測評流程 ........................................................................................................................................................... 14 調(diào)研階段 ....................................................................................................................................................... 14 分類收集樣本 ............................................................................................................................................... 15 實施測評 ....................................................................................................................................................... 15 分析測評結果 ............................................................................................................................................... 15

測評結果與分析 ........................................................................................................... 16

網(wǎng)站用戶口令處理整體情況 ........................................................................................................................... 16 各類型網(wǎng)站用戶口令處理情況 ....................................................................................................................... 19 門戶類網(wǎng)站用戶口令處理情況 ................................................................................................................... 19 郵箱類網(wǎng)站用戶口令處理情況 ................................................................................................................... 20 微博類網(wǎng)站用戶口令處理情況 ................................................................................................................... 21 博客類網(wǎng)站用戶口令處理情況 ................................................................................................................... 22 電子商務類網(wǎng)站用戶口令處理情況 ........................................................................................................... 22 招聘類網(wǎng)站用戶口令處理情況 ................................................................................................................... 23 婚戀類網(wǎng)站用戶口令處理情況 ................................................................................................................... 24

游戲類網(wǎng)站用戶口令處理情況 ................................................................................................................... 25 論壇類網(wǎng)站用戶口令處理情況 ................................................................................................................... 26

主要結論及建議 ........................................................................................................... 28 附件一

附件二 中國軟件評測中心智能移動終端測試實驗室介紹 . ................................. 30 北京大學互聯(lián)網(wǎng)安全技術北京市重點實驗室介紹 . ................................. 31

前言

隨著互聯(lián)網(wǎng)的發(fā)展，以電子商務、娛樂、購物、社交等為基礎的各類公共網(wǎng)站已經(jīng)融入到人們生活的各個方面。2012年1月，中國互聯(lián)網(wǎng)絡信息中心（CNNIC ）發(fā)布《第29次中國互聯(lián)網(wǎng)絡發(fā)展情況統(tǒng)計報告》，《報告》顯示，截至2011年底，中國網(wǎng)民規(guī)模達5.13億，網(wǎng)站域名達到775萬。

一方面，各種各樣的網(wǎng)站給人們帶來便利與精彩的生活；另一方面，網(wǎng)站存儲著大量和用戶個人信息相關的應用數(shù)據(jù)，一旦數(shù)據(jù)泄漏，就會使用戶遭受經(jīng)濟、名譽等方面的損失?！坝脩裘?口令”是網(wǎng)站普遍采用的一種認證方式，它是網(wǎng)站允許用戶進行個人信息訪問、操作的一道重要關卡。保證用戶口令的機密性是網(wǎng)站進行用戶個人信息隱私保護的重要一方面。

然而，2011年底的CSDN “泄密門”等事件使得大量用戶口令以明文形式被泄露，暴露出一些大型網(wǎng)站的開發(fā)/運營者在用戶口令處理方面安全意識薄弱。并且，部分互聯(lián)網(wǎng)用戶在不同網(wǎng)站注冊帳號時習慣采用相同的用戶名和口令，因此一旦用戶在某網(wǎng)站的口令被泄漏，他在其它網(wǎng)站上的數(shù)據(jù)也會遭到一定程度的“連帶式泄漏”：黑客可以利用該口令嘗試登錄其它網(wǎng)站，一旦登錄成功，便可以以受害用戶的身份在網(wǎng)站進行信息讀取和操作，黑客甚至可以直接用這些口令成功登錄用戶的網(wǎng)上銀行。因此，保證用戶口令的機密性，不單單需要一些大型網(wǎng)站增強用戶口令處理的安全意識，而是需要所有互聯(lián)網(wǎng)公共網(wǎng)站對用戶口令安全地進行處理。 網(wǎng)站對用戶口令的處理包括三個階段，即用戶在頁面上輸入口令后：1）客戶端的頁面控件、頁面腳本對口令的處理；2）傳輸信道對口令的傳輸；3）服務器端對口令的存儲/認證。 為了督促網(wǎng)站保護個人信息，提高整體實力，規(guī)范互聯(lián)網(wǎng)公共網(wǎng)站對用戶口令的處理，中國軟件評測中心聯(lián)合北京大學互聯(lián)網(wǎng)安全技術北京市重點實驗室，本著公開、公平、公正的原則，抽取了電子商務、招聘類、婚戀類、游戲類、論壇、博客等9大類共計100個網(wǎng)站，本著不影響網(wǎng)站正常運行的原則，本次測評不涉及服務器端用戶口令存儲方式，而是采用基于客戶端分析的外部測評方式，對客戶端處理口令、通信信道傳輸口令這兩個階段的安全性進行測評，按照本次設定的測評標準，將網(wǎng)站的安全性歸類為原始口令明文傳輸、原始口令編碼傳輸、原始口令加密傳輸、口令散列值明文傳輸、口令散列值密文傳輸?shù)炔煌踩墑e。

本次測評客觀地反映了互聯(lián)網(wǎng)公共網(wǎng)站對于用戶口令處理的現(xiàn)狀和問題，以期引起網(wǎng)民用戶、網(wǎng)站開發(fā)者、網(wǎng)站運營者、政府主管部門等對于用戶口令處理安全性的重視，希望能夠通過各方面努力，加強個人信息保護，營造一個健康有序的互聯(lián)網(wǎng)環(huán)境。

由于時間原因，本次評測工作難免有疏漏之處，敬請業(yè)界專家能多提寶貴意見，以便我們在日后的測評工作中改進與完善，更好地服務于中國互聯(lián)網(wǎng)產(chǎn)業(yè)。

測評范圍與樣本

樣本選擇與獲取

本次測評是針對網(wǎng)站用戶口令處理進行的測評，旨在通過對抽樣網(wǎng)站進行測評來了解互聯(lián)網(wǎng)公共網(wǎng)站對于用戶口令處理的現(xiàn)狀和問題，以期引起網(wǎng)民用戶、網(wǎng)站開發(fā)者、網(wǎng)站運營者、政府主管部門等對于用戶口令處理安全性的重視，希望能夠通過各方面努力，加強個人信息保護，營造一個健康有序的互聯(lián)網(wǎng)環(huán)境。

通過綜合分析網(wǎng)民的互聯(lián)網(wǎng)使用習慣得知，門戶類、電子商務、招聘、婚戀、游戲、論壇博客等是網(wǎng)民日常訪問的主要網(wǎng)站類型，并且這些網(wǎng)站普遍涉及用戶個人信息的收集，且涉及的個人信息范圍較大，真實信息較多。若用戶在這些網(wǎng)站上的口令被泄露，將會對用戶的個人生活產(chǎn)生較大影響。本次測評選擇9類共計100個網(wǎng)站作為抽測樣本。抽取的網(wǎng)站部分參照中國軟件評測中心《2012年網(wǎng)站個人信息保護政策測評報告》中的抽樣網(wǎng)站。

本次測評將網(wǎng)站服務器端當作黑盒，全部數(shù)據(jù)來自于在瀏覽器內(nèi)部偵聽頁面與服務器端的交互過程以及手工分析頁面控件及相關客戶端腳本對口令的處理。

測評范圍與測評樣本

本次測評涉及的網(wǎng)站包括電子商務、招聘類、婚戀類、游戲類、論壇、博客類等9種類型， 共計100個網(wǎng)站，如表1-1所示：

測評指標

指標設計

網(wǎng)站對用戶口令的處理包括三個階段，即用戶在頁面上輸入口令后：1）客戶端的頁面控件、頁面腳本對口令的處理；2）傳輸信道對口令的傳輸；3）服務器端對口令的存儲/認證。 客戶端、傳輸、服務器端均存在敵手，本次測評主要關注網(wǎng)站對用戶口令的處理，不考慮客戶端可能存在的keylogger 等敵手，各個階段的處理方式及其安全弱點見表2-1、表2-2、表2-3。 客戶端處理方式

直接將口令明文提交 安全弱點（或敵手模型） 黑客嗅探到通訊包后，直接提取出口令明文；

服務器端直接得到用戶口令；

服務器端木馬、企業(yè)間諜直接獲取口令明文；

將口令編碼后提交請求 黑客嗅探到通訊包后，嘗試解編碼；

服務器端解編碼后，得到用戶口令，被服務器端木馬、

企業(yè)間諜截獲；

服務器端木馬、企業(yè)間諜截獲口令編碼，嘗試解編碼；

將口令加密后提交請求 黑客嗅探到通訊包后，嘗試解密口令密文；

服務器端解密后，得到用戶口令，被服務器端木馬、

企業(yè)間諜截獲；

服務器端木馬、企業(yè)間諜截獲口令密文，嘗試解密口

令密文；

提交口令散列值 黑客嗅探到通訊包后，嘗試使用彩虹表查找出原文；

服務器端木馬、企業(yè)間諜截獲口令hash ，嘗試使用彩

虹表查找出原文；

表2-1 客戶端對口令的處理方式及安全弱點

本著不影響網(wǎng)站正常運行的原則，本次測評不涉及服務器端用戶口令存儲方式，而是采用基于客戶端分析的外部測評方式，將網(wǎng)站服務器端當作黑盒，全部數(shù)據(jù)來自于在瀏覽器內(nèi)部偵聽頁面與服務器端的交互過程以及手工分析頁面控件及相關客戶端腳本對口令的處理，對客戶端口令處理、通信信道口令傳輸這兩個階段的安全性進行測評，來評測網(wǎng)站對于網(wǎng)絡嗅探、企業(yè)間諜、服務器端木馬等敵手的脆弱性，具體涉及以下幾個方面：

口令的傳輸形態(tài)及對應安全性分析

用戶在頁面中輸入口令后，經(jīng)過客戶端頁面中腳本邏輯的處理，口令的形態(tài)可以是原文/編碼/密文/hash。

原文

原文是一種直接可見的形態(tài)。

黑客通過網(wǎng)絡嗅探截獲通訊包后，可以直接獲得請求中的口令原文；服務器端可以直接得到用戶的口令原文；企業(yè)間諜、服務器端木馬可以通過劫持服務器端程序，可以直接獲得用戶

的口令原文。

● 編碼

編碼是一種字符替換、字符串壓縮處理后的形態(tài)，典型的如base64編碼等。

編碼屬于一種可逆操作。黑客可以通過對客戶端頁面中腳本邏輯的分析，來知道用戶口令做了什么樣的編碼處理，從而對網(wǎng)絡嗅探截獲到的編碼后口令進行解編碼；服務器端木馬、企業(yè)間諜截獲口令編碼后，通過解編碼得到口令原文；服務器端解編碼后，得到口令原文，被服務器端木馬、企業(yè)間諜截獲。

● 密文

密文是一種可逆的形態(tài)，根據(jù)解密密鑰和加密密鑰是否一樣具體分為對稱加密和非對稱加密。

黑客可以嘗試對嗅探到的通訊包中的口令密文進行破解；服務器端木馬、企業(yè)間諜截獲口令密文后，嘗試破解得到口令原文；服務器端用解密密鑰解密，得到口令原文，被服務器端木馬、企業(yè)間諜截獲。

● Hash

hash 函數(shù)具有單向性，是一種相對安全的方式。

黑客嗅探到通訊包并得到口令hash 后，嘗試使用彩虹表查找出原文。

服務器端木馬、企業(yè)間諜截獲口令hash ，嘗試使用彩虹表查找出原文。

用戶名的傳輸形態(tài)及安全性分析

用戶名作為用戶的身份標識，也是一種用戶隱私數(shù)據(jù)，加之現(xiàn)在的網(wǎng)站都普遍使用郵箱作為用戶名，一旦用戶名（郵箱）泄露，黑客可以向這些郵箱發(fā)送垃圾郵件，影響人們的正常生活。因此，用戶名也應該以一種相對機密的形態(tài)傳輸，用戶名的各種形態(tài)及其安全性與“口令的傳輸形態(tài)及對應安全性”相似。

傳輸信道及對應安全性

口令的傳輸信道分為常規(guī)信道和加密信道。

黑客可通過網(wǎng)絡嗅探器直接嗅探到常規(guī)信道中的通訊包。因此，常規(guī)信道安全性比較弱。http 屬于常規(guī)信道傳輸。

加密信道將服務器端和客戶端建立了一個加密通道，保證了通信的機密性，能對抗網(wǎng)絡嗅探器直接嗅探到通信包。加密信道的安全性相對較強，黑客需要嘗試解密來獲取通訊包。https

屬于加密信道傳輸。加密信道僅僅對抗黑客在傳輸過程對通訊包的嗅探，服務器端企業(yè)間諜、服務器端木馬仍可以得到通過加密信道傳輸過來的原文/編碼/密文/hash等形態(tài)的口令。 請求提交方法

客戶端與網(wǎng)站服務器通過https/http協(xié)議與服務器交互式，常用的方法是post 和get 。 用戶在網(wǎng)站進行注冊/登錄，一般是基于表單發(fā)送請求，post 是一種相對規(guī)范的請求提交方法。

口令處理模式分類及安全性標定

本次測評主要分析口令的傳輸形態(tài)、用戶名的傳輸形態(tài)、傳輸信道以及認證請求提交方法，并根據(jù)網(wǎng)站在傳輸形態(tài)和傳輸信道的具體處理模式，依照其中所采用的不同的技術手段，對網(wǎng)站用戶口令處理模式進行分類及安全性標定，如表2-4：