RTSP拉流协议视频平台EasyNVR多点认证造成潜在威胁？EasyNVR多点认证机制优化

EasyNVR

发布于 2020-12-18 14:28:15

57100

代码可运行

文章被收录于专栏：EasyNVREasyNVR

运行总次数：0

代码可运行

上一篇我们讲了TSINGSEE青犀视频平台EasyNVR内登陆鉴权的优化，通过优化登陆鉴权，我们可以抵御很多分发用户的攻击。在该问题优化完成后，我们模拟不法分子的攻击对EasyNVR的安全性进行了测试，EasyNVR已经达到了一个安全性很高的级别。

但是在这其中，我们发现系统允许多点认证，假设攻击者已经获取到某位用户的账号密码，则可利用该缺陷在该用户已登录且未知的情况下重复登录，操作用户账户。

这个问题可以说是多点认证一个通病，当初TSINGSEE青犀视频在对EasyNVR的认证机制设计的时候，为了让用户在不同终端都可以进行身份认证，就增加了这个认证。

建议在不影响业务的前提下，关键业务系统应禁止多点认证。当同一账号在其他地方登录时已登录的账号应退出会话，并提示用户账户在其他地区登录，可能存在账号被盗风险。

分析问题：

因为EasyNVR后端使用的是session作为服务端用户的唯一标识，用户每登录一次，浏览器就会记录登录信息，过期时间为7天；或是用户主动点击退出登录，这样浏览器就会清除登录信息，服务端也会清除登录信息。于是我们想到在登陆的时候，如果EasyNVR这个用户已经登录过了，就将之前的已经登录系统的EasyNVR用户的信息清除。

解决问题：

判断代码如下：

var user models.User
models.DB.Where(&models.User{Name: form.Username}).First(&user)
if user.ID == 0 {
   incLoginFailedCount()
   c.AbortWithStatusJSON(401, "用户名或密码错误")
   return
}
if !strings.EqualFold(user.Password, form.Password) && !strings.EqualFold(utils.MD5(getMasterKey()), form.Password) {
   incLoginFailedCount()
   c.AbortWithStatusJSON(401, "用户名或密码错误")
   return
}
resetLoginCount()
sess := sessions.Default(c)
sess.Set("uid", user.ID)
sess.Set("uname", user.Name)
// 判断该用户是否已经登录过了
_, ok := LoginSessions[user.ID]
if ok {
   // 限制一个用户只能在一个地方登录，后登录会挤掉前面一个用户
   sso := utils.Conf().Section("base_config").Key("sso").MustBool(false)
   if sso {
      RemoveSSOSession(user.ID)
   }
}
SetSSOSession(user.ID, sess)
ack := NewMsgAck()
ack.EasyDarwin.Header.MessageType = MSG_SC_SERVER_LOGIN_ACK
ack.EasyDarwin.Body["Token"] = sess.ID()
ack.EasyDarwin.Body["TokenTimeout"] = utils.Conf().Section("base_config").Key("token_timeout").MustInt(7 * 86400)
c.IndentedJSON(http.StatusOK, ack)

func SetSSOSession(uid int, sess sessions.Session) {
   if LoginSessions == nil {
      LoginSessions = make(map[int]sessions.Session)
   }
   LoginSessions[uid] = sess
}

func RemoveSSOSession(uid int) {
   sess := LoginSessions[uid]
   sess.Destroy()
   sessions.RemoveToken(models.DB, store, sess.ID())
}