Phpcms v9管理后台登录加密传输组件是思优CMSYOU技术团队针对Phpcms v9默认程序改造完善的一套管理后台管理员登录加密传输的机制,传输授权方式由原有的POST明文密码改为AES/Base64加密,做到账号、密码在提交时采用安全的算法加密传输,达到更为严格、安全的目的,适合用于程序等保认证、网络安全检测评级。
最近几年,伴随着的安防的需求,HTTPS网址、SSL证书越来越普及,一些浏览器甚至在地址栏左侧出现了非https网址直接出现“不安全”的文字提示,实际上并不是程序不安全,仅仅是浏览器对网址类型的提示。但不得不说,HTTPS协议对传输进行了加密,是对安防的一种提升。
HTTPS相当于HTTPS协议,英文全称Hyper Text Transfer Protocol over SecureSocket Layer,是超文本传输安全协议的意思,HTTPS在HTTP上面提供了一个传输级的安全层,目前安全层所用的协议是SSL(Secure Socket Layer)和其继任者TLS(Transport Layer Security),SSL是一个比较复杂的协议,已有商用和开源的实现版本,例如OpenSSL。所有HTTP请求和响应数据在传输到网络前都由安全层进行加密。HTTPS具有的特点有:采用混合加密技术,中间者无法直接查看明文内容;通过证书认证客户端访问的是自己的服务器;防止传输的内容被中间人冒充或者篡改,保护数据完整性。
Phpcms v9默认的管理后台登录方式是采用POST明文提交,如果碰到网络被劫持或者恶意攻击的情况,就会显得不够安全,当前这些都是基于不安全的网络环境下的情况。为了让Phpcms v9管理后台登录传输做得更安全,我们推出的Phpcms v9管理后台登录加密传输组件无疑是救星。
如果你的网站在做网络安全检测或者等保评价时,可能碰到这种提示:
安全风险:
认证:或者修改密码等传输过程中未对密码等敏感信息加密,登录页面密码明文或base64编码传输,攻击者通过在局域网中嗅探网络流量,获取明文传输的认证凭证,如用户名密码、SESSIONID等敏感信息。
修复建议:
用户登录信息使用加密传输,如密码在传输前使用安全的算法加密后传输。可采用的算法包括:不可逆hash算法加盐(4 位及以上随机数,由服务器端产生) ;
安全对称加密算法,如AES(128、192、 256 位),且必须保证客户端密钥安全,不可被破解或读出;非对称加密算法,如RSA(不低于1024位)、SM2等。
Phpcms v9管理后台登录加密传输组件原理:
1、管理后台登录页面采用if(get_extension_funcs('openssl'))判断是否开启了openssl,如果存在openssl则采用AES加密,没有则启用Base64加密,对用户名、密码加密后再提交传输。
2、管理后台登录模块的php文件进行了改写,再接收到加密后的信息后,采用AES/Base64解密验证判断,通过后再进行登录授权;
3、管理后台提交验证提示方式改为AJAX,接入layer.js弹窗提醒错误信息。
Phpcms v9管理后台登录页面(样式未改变),用户名、密码采用加密传输
*更新记录:
3、20231223:细化配置说明、整理上线。
2、20230815:完善组件写法,增加判断是否支持openssl,针对不支持openssl的环境增加Base64加密。
1、20210829:针对Phpcms v9默认管理后台登录提交授权方式改写,实现密码加密传输。
安装说明:
1、 插件文件的上传及替换:
该插件适用于phpcms v9全系列,如果程序没有做过二次开发,可在备份后上传phpcms/、statics/目录里的文件上传覆盖替换,如果程序二次开发或者之前修改过php文件,则需要针对性上传替换。上传替换前需先备份好原有程序文件。
2、修改php配置文件,启用openssl组件。可以采用探针文件进行环境监测,或者采用phpinfo()函数打印环境参数的方式检查。
3、 刷新浏览器缓存,进入登录管理后台页面,进行登录检查验证。
4、CMSYOU对插件提供答疑及技术支持,欢迎咨询探讨。
*疑问解答:未尽事项,如有疑问请及时联系cmsyou.com客服,多谢!
点击加载更多