web门禁系统

创鸿COHO-web门禁管理系统

WEB门禁管理系统，B/S架构，用户可以用网络内的任何一台电脑、手机，IPAD等使用浏览器对门禁设备进行基本的管理和使用。

现代门禁的发展，历经了从机械锁→数字机械锁→光孔锁→磁片锁→磁卡锁→接触式IC卡锁→非接触式智能卡、指纹、人脸识别→到目前混合校验模式的漫长演变过程。

系统的实用性

系统的实用性是首先应遵循的第一原则。WebAccess门禁系统的前端产品和系统软件均有良好的可学习性和可操作性。特别是操作性,使具备电脑初级操作水平的管理人员,通过简单的培训就能掌握系统的操作要领,达到能完成值班任务的操作水平。

系统的稳定性

由于门禁系统是一项不间断长期工作的系统，并且和我们的正常生活和工作息息相关，所以系统的稳定性显得尤为重要。WEB门禁系统设计上采用中央集中管控的原则，特别适合跨区域的大集团的统一安全管理的需要。

系统安全性

门禁系统中的所有设备及配件在性能安全可靠运转的同时, 还应符合中国或国际有关的安全标准, 并可在非理想环境下有效工作。强大的实时监控功能和联动功能，充分保证使用者环境的安全性。

开放性好

门禁系统本身不是一个孤立的系统，他与智能楼宇和企业HR管理等都有密切的联系，在安全性保障的前提下良好的开放性给系统的集成和管理带来非常大的便捷。

系统易维护性

门禁系统在运行过程中的维护应尽量做到简单易行。系统的运转真正做到开电即可工作, 插上电就能运行的程度。而且维护过程中无需使用过多专用的维护工具。WEB门禁软件本身安装在服务器上，客户端不需要安装软件就可以使用，而且整个系统的维护是在线式的。

系统可扩展性

门禁系统的技术不断向前发展, 用户需求也在发生变化, 因此门禁系统的设计与实施应考虑到将来可扩展的实际需要, 亦即: 可灵活增减或更新各个子系统, 满足不同时期的需要, 保持长时间领先地位, 成为智能建筑的典范。系统设计时,对需要实现的功能进行了合理配置,并且这种配置是可以改变的,设置甚至在工程完成后,这种配置的改变也是可能的和方便的。系统随时可以潜入WEBONE平台进行WEB一卡通管理。

指纹识别器的工作原理：

指纹识别器指纹识别器读取指纹有多种不同方式，其中电容式传感技术的基本原理是，它根据活体手指——请注意“活体”一词——表层上的电阻变化传导指纹图像。皮肤的表皮层，包括手指的表皮层的细胞是非活体的。剥掉非活体细胞的表皮层可以看到第一层活体皮肤细胞，这些皮肤细胞具有一定量电阻。它们还在皮肤表层上组成特定形状——常见的指纹嵴线和沟。细胞中的特定电学品质与细胞的排列方式这二者的结合使得皮肤表面的电阻能够被测量到且其变化唯一。这就是电容式读取器的工作方式——它首先读取手指活体表皮的电阻变化，然后传导显示这些变化的手指图。该图看起来就像警察展示的标准指纹图像。电阻变化图称作指纹图像。产生指纹图像后会对其进行保存，或将其与另一个指纹图像进行比较，以确定它们是否相同。电容式传感器技术在指纹界中占有主导地位；其它所有指纹识别技术均为技术跟随者。该技术还非常成熟、稳定可靠，并且是当今市场中价格相对最低廉的指纹传感技术之一。

主要用途：

1、取代

用指纹取代 Microsoft® Windows® 及 BIOS 密码，从而可实现轻松、快速、安全的系统访问。从睡眠和待机模式中刷动手指也可登录到 PC。当前在某些笔记本电脑系统上可实现 BIOS 密码（也称为开机密码）替换。

2、管理器

使用指纹以及密码管理器访问 Web 站点及应用程序。密码管理器可将多个 Web 及应用程序密码保存在一个受硬件保护的位置中，以及通过一个密码和刷动手指访问这些密码。

3、身份验证

登录到 Windows 时刷动手指以及使用 网络自适应软件（Access Connections）进行无线身份验证。

在访问 Windows、Web 站点及某些应用程序时实现安全的双重身份验证（密码与指纹）。客户端安全解决方案使这一点成为可能。

4、加密数据

使用指纹访问加密数据。可使用文件与文件夹加密软件进行数据加密。

优点缺点：

（一）优点：

1、指纹是人体独一无二的特征，并且它们的复杂度足以提供用于鉴别的足够特征；

2、如果要增加可靠性，只需登记更多的指纹、鉴别更多的手指，最多可以多达十个，而每一个指纹都是独一无二的；

3、扫描指纹的速度很快，使用非常方便；

4、读取指纹时，用户必需将手指与指纹采集头相互接触，与指纹采集头直接；

5、接触是读取人体生物特征最可靠的方法；

6、指纹采集头可以更加小型化，并且价格会更加的低廉。

（二）缺点：

1、某些人或某些群体的指纹指纹特征少，难成像；

2、过去因为在犯罪记录中使用指纹，使得某些人害怕“将指纹记录在案”；

3、实际上现在的指纹鉴别技术都可以不存储任何含有指纹图像的数据，而只是存储从指纹中得到的加密的指纹特征数据；

4、每一次使用指纹时都会在指纹采集头上留下用户的指纹印痕，而这些指纹痕迹存在被用来复制指纹的可能性。

通过搜索引擎搜索产品和服务现在已经成为司空见惯的事情了。如果您搜索了特定的产品或服务，那么您或许可能会注意到，您访问的网站上展示的广告会包含与您所寻找的产品相同的产品。

但是，网站如何知道您的兴趣是什么？或者需要向您展示什么广告的呢？

这些问题的答案是浏览器指纹识别。浏览器指纹识别是收集可通过浏览器获得的元数据以识别特定用户的过程。通过使用这些技术，网站可以跟踪您的在线浏览习惯和购买方式，以提供与您的兴趣相匹配的广告和促销活动。

网站采用浏览器指纹识别有多种原因，但主要推动力是数十亿美元的网络营销体系。网络营销已席卷全球，个性化广告是其成功的主要原因。

尽管cookie是网站跟踪用户行为的主要方式，但在过去的四年中，浏览器指纹识别在在网络销领域中日渐流行。由于许多原因，Cookie不如以前那样有效，因此浏览器指纹已成为跟踪和识别用户及其兴趣的新标准。

浏览器指纹技术已经变得如此有效，在包括大约100万用户的详细研究中，电子前沿基金会（EFF）发现，在836%的浏览器中可以识别独特的指纹。此外，942% 的启用了 Java 或 Flash 的浏览器也表现出独特的指纹，这甚至不包括 Cookie！

在本文中，我们将介绍最常见的浏览器指纹识别方法类型，并对它们的工作方式进行基本概述。当然，这不是指纹识别方法的完整列表。但是我们将介绍当今使用的主要和最有效的类型，以及我们认为在可预见的将来会涉及到的最重要的方法。

为什么浏览器指纹构成威胁？

个性化广告听起来可能不是一件可怕的事情，但从本质上讲，它确实会对在线隐私构成威胁。

如果大部分实施浏览器指纹识别的网站或者在对用户的浏览器进行指纹识别时不征求用户的同意，又或者以非常误导的方式这样做。您很可能根本无法回忆起曾经要求您允许跟踪信息的网站是哪些。如果有任何通知，它通常会埋在网站的服务条款中，并以您可能想象的最小字体写成，而且通常是这样描述的：

“通过使用我们的网站，您同意我们将保存您机器的数字签名。”

不用担心，如果您不了解这一点，并不单单表示只有能会是这样的情况。其实大多数用户都不知道这意味着什么，并且由于它并没有对可能的后果做出任何真实的解释，因此，少数看到它的人也并没有真正考虑它。

但是，同意这些条款可能会导致基于您所在位置的产品价格更高，黑客攻击导致大量信息泄露，以及消费者无法立即察觉的其他缺点等等。

浏览器指纹识别的类型

浏览器指纹识别方法千差万别，这也是它们如此难以对付的原因之一。新的指纹识别方法会定期开发，但也有新的解决方案来解决这些创新技术。正因为如此，可以说，打击浏览器指纹识别是一项需要反复迭代更新的。

下面您将找到最常见的浏览器指纹识别类型，以及他们如何从您的浏览器或设备读取信息的基础知识。

浏览器插件

浏览器插件通常与浏览器加载项混淆，但您必须记住的主要事情是，插件对您的在线隐私构成更大的威胁。它们之间的主要区别是插件会在浏览器之外以完全不同的过程执行。

浏览器无法控制插件拥有多少访问权限，相反，这是由当前登录到系统的用户定义的。在大多数情况下，用户都在管理员配置文件下工作，在收集数据时，插件可以更加自由的获得权限。

插件用于增强浏览器体验，以及访问 Flash 和其他整洁功能等资源。它们由第三方开发，最常见的包括，但不限于：

· Shockwave Flash

· QuickTime Plug-in 773

· Default Browser Helper

· Unity Player

· Google Earth Plug-in

· Silverlight Plug-In

· Java Applet Plug-in

· Adobe Acrobat NPAPI Plug-in, Version 11002

· WacomTabletPlugin

每个插件都可用于跟踪有关计算机和浏览器指纹的唯一信息。以 Flash 为例。除了所有其他插件之外，Flash API 能够读取可用于识别计算机的信息，例如：

• 完整的字体列表

• 主板和其他硬件ID

• 真实MAC 地址

• 真实IP 地址，即使您使用的是代理连接

除了插件已经透露了很多信息之外，您的插件列表本身可以是一个指纹。插件枚举可帮助网站获取插件的完整列表，并且由于有这么多不同的插件和版本组合，仅此列表即可准确识别您的浏览器。

浏览器附加枚举

浏览器加载项枚举类似于上述插件枚举技术。加载项枚举的主要目标是获取您在浏览器上安装的加载项列表，最好是它们的名称和版本。

浏览器加载项枚举是一组称为"JS 行为测试"的更广泛方法的一部分，该方法还可以读取浏览器的确切版本和有关浏览器的其他独特信息。当一起收集时，组合足够独特，可以精确获得您的浏览器指纹。

系统字体枚举

可用于对浏览器进行指纹识别的另一组元素是计算机上安装的字体列表。网站可以使用 Flash 或 Java Applet 插件获取系统字体列表，然后通过 AJAX 静默传输到后台的服务器。

获取此列表的另一个有效方法是通过系统字体枚举，这要归功于 CSS 的内省。简而言之，此方法可以通过测量浏览器以特定字体生成的短语的宽度来推断您已安装在计算机上的字体。

例如，如果您写"你好世界"的大小 14 PX新罗马字体， 此元素应该有相同的宽度测量每个屏幕上的像素如果浏览器上文本的宽度与大小 14 PX 新罗马相同，则意味着您已安装了该字体。

但是，如果元素宽度不匹配，则意味着浏览器已替换了新罗马字体，因为它并没有安装在您的电脑系统当中。通过循环浏览可能的字体和宽度列表，网站可以准确了解用户已安装哪些字体，从而获得精确的指纹识别。

User-Agent字符串

User-Agent字符串告诉网站正在使用哪些浏览器版本，以便根据用户的设备正确显示网站。每个浏览器都有一种独特的网站显示方式，因此 User-Agent 字符串对于良好的用户体验至关重要。

话虽如此，User-Agent 字符串同时也会向网站显示大量信息，包括系统和浏览器详细信息、平台信息等。每种组合都可以做到单一独立，以至于有时有时仅使用User-Agent字符串即可准确识别用户。

避免通过 User-Agent 轻松识别的最佳方式之一是使用不到 2 或 3 个月前发布的浏览器，因为它保证您将使用最常用的 User-Agent 字符串之一。

屏幕分辨率

当涉及到屏幕分辨率时，网站可以读取两个变量。第一个是浏览器报告的屏幕分辨率，第二个是可用于显示网页的大小。

浏览器报告的屏幕分辨率可以手动调整，以便轻松操作。例如，您可以故意调整的分辨率值，例如 10000×10000，您的浏览器仍将广播这些值。

另一方面，可以使用 Javascript 测量可用于网页显示的大小，它是浏览器窗口的上边框和底部或左右边框之间的距离。这完全取决于浏览器窗口大小。

考虑到您通常会最大化窗口以简化工作，因此可显示的大小与屏幕分辨率和浏览器版本的组合通常足以创建唯一的指纹。如果启用了Javascript，此方法非常有效，甚至可以跟踪受保护的浏览器（例如Tor）。

JSNavigator参数

Javascript Navigator或JSNavigator允许网站与您的浏览器进行通信，以便将它们以正确的格式显示在屏幕上。 JSNavigator通常用于区分移动设备和非移动设备，采用适合屏幕特定分辨率的布局，并以您的区域性语言提供内容。

您可能已经猜到了，Javascript对JSNavigator及其参数具有完全访问权限，因此它们也可以用于浏览器指纹识别。通过JSNavigator，网站可以访问诸如时区，浏览器语言，内部版本ID，DoNotTrack变量，平台，AppVersion变量甚至CPU内核数之类的信息。

通过JSNavigator可用的参数揭示了大量有关计算机的独特信息。尽管可以很容易地修改伪装这些参数，但在许多情况下也可以很容易地发现它们。例如，如果浏览器在页面加载时操纵这些参数，则网站可以轻松地检测到错误的参数并发现其真实值。

Supercookies

如今流行的" Supercookies"是指存储在非正常位置的所有 Cookie。嵌入浏览器中的常见清洁工具通常很难删除这些 Cookie，因此通常需要专门的工具或手动删除。

尽管术语" Supercookies"被看作是Flash Cookie 的同义词，但该术语现在用于描述任何难以删除或存储在不常见位置的 Cookie。它们通常通过 Flash、Java 和其他方式注入，但由于它们的永久存储和难以删除的特征，它们都归为同一类别。

Canvas, WebGL, and Audio Fingerprint

Canvas, WebGL, and Audio Fingerprint是不同的技术，但是它们有一个共同点：它们不是由一组预定值定义的，例如JSNavigator。 相反，这些指纹识别机制读取有关您的特定设备通过与其他设备的比较来完成不同的任务。

这些指纹识别技术有时可以称为“设备指纹”，但是没有一个广泛接受的术语。 我们喜欢将它们称为“硬件指纹”，因为这三种方法都涉及比较不同计算机如何解决网站提供的独特任务。

最后。。。

浏览器指纹识别是令人难以置信的难以打击，因为它包了这么多不同的技术和元素。本文的目的是创建最常见的浏览器指纹识别方法及其操作方式的基础知识的完整列表。

话虽如此，我们省略了某些我们认为不重要的方法，因为没有迹象表明它们被用于除科学文章和概念验证解决方案之外的任何方法。

在开发 VMLOGIN中文版多账号防关联超级浏览器 时，我们发现了其他浏览器指纹识别方法。但是，因为我们从来没有见过它们在现实生活中使用，我们认为最好的方式是通过 VMLOGIN中文版多账号防关联超级浏览器 阻止他们，而不是在本文中介绍它们。

但是，您可以放心，每当我们发现任何迹象，这些方法正在积极用于指纹浏览器，我们将有我们的防指纹解决方案来确保我们产品用户的隐私！

web常见的几个漏洞

1 SQL注入

SQL注入攻击是黑客对数据库进行攻击的常用手段之一。

2 XSS跨站点脚本

XSS是一种经常出现在web应用中的计算机安全漏洞，它允许恶意web用户将代码植入到提供给其它用户使用的页面中。

3 缓冲区溢出

缓冲区溢出漏洞是指在程序试图将数据放到及其内存中的某一个位置的时候，因为没有足够的空间就会发生缓冲区溢出的现象。

4 cookies修改

即使 Cookie 被窃取，却因 Cookie 被随机更新，且内容无规律性，攻击者无法加以利用。另外利用了时间戳另一大好处就是防止 Cookie 篡改或重放。

5 上传漏洞

这个漏洞在DVBBS60时代被黑客们利用的最为猖獗，利用上传漏洞可以直接得到WEBSHELL，危害等级超级高，现在的入侵中上传漏洞也是常见的漏洞。

6 命令行注入

所谓的命令行输入就是webshell 了，拿到了权限的黑客可以肆意妄为。

指纹识别即指通过比较不同指纹的细节特征点来进行鉴别

。指纹识别技术涉及图像处理、模式识别、计算机视觉、数学形态学、小波分析等众多学科。由于每个人的指纹不同，就是同一人的十指之间，指纹也有明显区别，因此指纹可用于身份鉴定。由于每次捺印的方位不完全一样，着力点不同会带来不同程度的变形，又存在大量模糊指纹，如何正确提取特征和实现正确匹配，是指纹识别技术的关键。

01、信息收集

1、域名、IP、端口

域名信息查询：信息可用于后续渗透

IP信息查询：确认域名对应IP，确认IP是否真实，确认通信是否正常

端口信息查询：NMap扫描，确认开放端口

发现：一共开放两个端口，80为web访问端口，3389为windows远程登陆端口，嘿嘿嘿，试一下

发现：是Windows Server 2003系统，OK，到此为止。

2、指纹识别

其实就是网站的信息。比如通过可以访问的资源，如网站首页，查看源代码:

看看是否存在文件遍历的漏洞（如路径，再通过…/遍历文件）

是否使用了存在漏洞的框架（如果没有现成的就自己挖）

02、漏洞扫描

1、主机扫描

Nessus

经典主机漏扫工具，看看有没有CVE漏洞：

2、Web扫描

AWVS（Acunetix | Website Security Scanner）扫描器

PS：扫描器可能会对网站构成伤害，小心谨慎使用。

03、渗透测试

1、弱口令漏洞

漏洞描述

目标网站管理入口（或数据库等组件的外部连接）使用了容易被猜测的简单字符口令、或者是默认系统账号口令。

渗透测试

① 如果不存在验证码，则直接使用相对应的弱口令字典使用burpsuite 进行爆破

② 如果存在验证码，则看验证码是否存在绕过、以及看验证码是否容易识别

风险评级：高风险

安全建议

① 默认口令以及修改口令都应保证复杂度，比如：大小写字母与数字或特殊字符的组合，口令长度不小于8位等

② 定期检查和更换网站管理口令

2、文件下载（目录浏览）漏洞

漏洞描述

一些网站由于业务需求，可能提供文件查看或下载的功能，如果对用户查看或下载的文件不做限制，则恶意用户就能够查看或下载任意的文件，可以是源代码文件、敏感文件等。

渗透测试

① 查找可能存在文件包含的漏洞点，比如js，css等页面代码路径

② 看看有没有文件上传访问的功能

③ 采用…/来测试能否夸目录访问文件

风险评级：高风险

安全建议

① 采用白名单机制限制服务器目录的访问，以及可以访问的文件类型(小心被绕过)

② 过滤/等特殊字符

③ 采用文件流的访问返回上传文件（如用户头像），不要通过真实的网站路径。

示例：tomcat，默认关闭路径浏览的功能：

<param-name>listings</param-name>

<param-value>false</param-value>

3、任意文件上传漏洞

漏洞描述

目标网站允许用户向网站直接上传文件，但未对所上传文件的类型和内容进行严格的过滤。

渗透测试

① 收集网站信息，判断使用的语言（PHP，ASP，JSP）

② 过滤规则绕过方法：文件上传绕过技巧

风险评级：高风险

安全建议

① 对上传文件做有效文件类型判断，采用白名单控制的方法，开放只允许上传的文件型式；

② 文件类型判断，应对上传文件的后缀、文件头、类的预览图等做检测来判断文件类型，同时注意重命名（Md5加密）上传文件的文件名避免攻击者利用WEB服务的缺陷构造畸形文件名实现攻击目的；

③ 禁止上传目录有执行权限；

④ 使用随机数改写文件名和文件路径，使得用户不能轻易访问自己上传的文件。

4、命令注入漏洞

漏洞描述

目标网站未对用户输入的字符进行特殊字符过滤或合法性校验，允许用户输入特殊语句，导致各种调用系统命令的web应用，会被攻击者通过命令拼接、绕过黑名单等方式，在服务端运行恶意的系统命令。

渗透测试

风险评级：高风险

安全建议

① 拒绝使用拼接语句的方式进行参数传递；

② 尽量使用白名单的方式（首选方式）；

③ 过滤危险方法、特殊字符，如：|&；’"等

5、SQL注入漏洞

漏洞描述

目标网站未对用户输入的字符进行特殊字符过滤或合法性校验，允许用户输入特殊语句查询后台数据库相关信息

渗透测试

① 手动测试：判断是否存在SQL注入，判断是字符型还是数字型，是否需要盲注

② 工具测试：使用sqlmap等工具进行辅助测试

风险评级：高风险

安全建议

① 防范SQL注入攻击的最佳方式就是将查询的逻辑与其数据分隔，如Java的预处理，PHP的PDO

② 拒绝使用拼接SQL的方式

6、跨站脚本漏洞

漏洞描述

当应用程序的网页中包含不受信任的、未经恰当验证或转义的数据时，或者使用可以创建 HTML或JavaScript 的浏览器 API 更新现有的网页时，就会出现 XSS 缺陷。XSS 让攻击者能够在受害者的浏览器中执行脚本，并劫持用户会话、破坏网站或将用户重定向到恶意站点。

三种XSS漏洞：

① 存储型：用户输入的信息被持久化，并能够在页面显示的功能，都可能存在存储型XSS，例如用户留言、个人信息修改等。

② 反射型：URL参数需要在页面显示的功能都可能存在反射型跨站脚本攻击，例如站内搜索、查询功能。

③ DOM型：涉及DOM对象的页面程序，包括：documentURL、documentlocation、documentreferrer、windowlocation等

渗透测试

存储型，反射型，DOM型

风险评级：高风险

安全建议

① 不信任用户提交的任何内容，对用户输入的内容，在后台都需要进行长度检查，并且对<>"’&等字符做过滤

② 任何内容返回到页面显示之前都必须加以html编码，即将<>"’&进行转义。

7、跨站请求伪造漏洞

漏洞描述

CSRF，全称为Cross-Site Request Forgery，跨站请求伪造，是一种网络攻击方式，它可以在用户毫不知情的情况下，以用户的名义伪造请求发送给被攻击站点，从而在未授权的情况下进行权限保护内的操作，如修改密码，转账等。

渗透测试

风险评级：中风险（如果相关业务极其重要，则为高风险）

安全建议

① 使用一次性令牌：用户登录后产生随机token并赋值给页面中的某个Hidden标签，提交表单时候，同时提交这个Hidden标签并验证，验证后重新产生新的token，并赋值给hidden标签；

② 适当场景添加验证码输入：每次的用户提交都需要用户在表单中填写一个上的随机字符串；

③ 请求头Referer效验，url请求是否前部匹配Http(s)