1、登入安全說明

使用者登入是電商網站整體業務邏輯中重要的一環，又是最容易受到攻擊的介面，所以確保登入安全，是電商網站整體業務邏輯中的重點；

網際網路洩漏的帳號密碼量大約在1.5億，當登入介面存在安全風險，撞庫，掃號，破解密碼等行為不禁會影響伺服器效能，還會對使用者造成極高的風險，重要業務會導致洩密事件的發生。

2、登入邏輯安全

2.1、邏輯錯誤總結

經過對京東登陸點的梳理，總結出現邏輯錯誤的型別總結

1、登入頁無驗證碼；

2、驗證碼儲存於cookie中；

3、正確的驗證碼存在於頁面隱藏域中，讀取隱藏域，即可得到驗證碼；

4、驗證碼與cookie值對應，當cookie值不變，驗證碼值不變

5、驗證碼更新由客戶端發起請求，客戶端不發起請求，驗證碼可無限制使用

6、驗證碼與帳號密碼不在同一介面驗證，導致驗證碼繞過

7、驗證碼以簡單變形形式存於cookie中（例：base64），解碼後可獲得驗證碼

2.2、正確的登入邏輯

正確的登入邏輯應該由以下條件組成：

1、使用者名稱密碼與驗證碼一起提交到登入驗證介面；

2、驗證碼錯誤返回提示驗證碼錯誤資訊，並後臺更新驗證碼

3、使用者名稱或密碼錯誤，模糊提示，使用者名稱或密碼錯誤，更新後端驗證碼

具體登入邏輯圖如下：

2.3、特殊登入點安全控制

對於特殊登入點，例如ERP外部登入，email登入，vpn登入，此類登入需要如下安全控制方式中的種配合，才能確保安全；

例如email、vpn、erp等重要系統，帳號密碼一旦被破解，可能導致洩密，甚至危及內部網路的安全，所以特殊登陸點需要以下安全防護措施：

1、驗證碼難度加強

2、更加嚴格的登入策略

3、登入成功後採用二次驗證，例如手機簡訊驗證

4、硬體ukey登入

5、採用動態令牌保護