RTSP拉流协议视频平台多点认证造成潜在威胁?如何破解?

上一篇我们讲了TSINGSEE青犀视频平台EasyNVR内登陆鉴权的优化,通过优化登陆鉴权,我们可以抵御很多分发用户的***。在该问题优化完成后,我们模拟不法分子的***对EasyNVR的安全性进行了测试,EasyNVR已经达到了一个安全性很高的级别。

RTSP拉流协议视频平台多点认证造成潜在威胁?如何破解?

但是在这其中,我们发现系统允许多点认证,假设***者已经获取到某位用户的账号密码,则可利用该缺陷在该用户已登录且未知的情况下重复登录,操作用户账户。

RTSP拉流协议视频平台多点认证造成潜在威胁?如何破解?

这个问题可以说是多点认证一个通病,当初TSINGSEE青犀视频在对EasyNVR的认证机制设计的时候,为了让用户在不同终端都可以进行身份认证,就增加了这个认证。

RTSP拉流协议视频平台多点认证造成潜在威胁?如何破解?

建议在不影响业务的前提下,关键业务系统应禁止多点认证。当同一账号在其他地方登录时已登录的账号应退出会话,并提示用户账户在其他地区登录,可能存在账号被盗风险。

分析问题:

因为EasyNVR后端使用的是session作为服务端用户的唯一标识,用户每登录一次,浏览器就会记录登录信息,过期时间为7天;或是用户主动点击退出登录,这样浏览器就会清除登录信息,服务端也会清除登录信息。于是我们想到在登陆的时候,如果EasyNVR这个用户已经登录过了,就将之前的已经登录系统的EasyNVR用户的信息清除。

解决问题:

判断代码如下:

 

var user models.User
models.DB.Where(&models.User{Name: form.Username}).First(&user)
if user.ID == 0 {
   incLoginFailedCount()
   c.AbortWithStatusJSON(401, "用户名或密码错误")
   return
}
if !strings.EqualFold(user.Password, form.Password) && !strings.EqualFold(utils.MD5(getMasterKey()), form.Password) {
   incLoginFailedCount()
   c.AbortWithStatusJSON(401, "用户名或密码错误")
   return
}
resetLoginCount()
sess := sessions.Default(c)
sess.Set("uid", user.ID)
sess.Set("uname", user.Name)
// 判断该用户是否已经登录过了
_, ok := LoginSessions[user.ID]
if ok {
   // 限制一个用户只能在一个地方登录,后登录会挤掉前面一个用户
   sso := utils.Conf().Section("base_config").Key("sso").MustBool(false)
   if sso {
      RemoveSSOSession(user.ID)
   }
}
SetSSOSession(user.ID, sess)
ack := NewMsgAck()
ack.EasyDarwin.Header.MessageType = MSG_SC_SERVER_LOGIN_ACK
ack.EasyDarwin.Body["Token"] = sess.ID()
ack.EasyDarwin.Body["TokenTimeout"] = utils.Conf().Section("base_config").Key("token_timeout").MustInt(7 * 86400)
c.IndentedJSON(http.StatusOK, ack)

func SetSSOSession(uid int, sess sessions.Session) {
   if LoginSessions == nil {
      LoginSessions = make(map[int]sessions.Session)
   }
   LoginSessions[uid] = sess
}
 
func RemoveSSOSession(uid int) {
   sess := LoginSessions[uid]
   sess.Destroy()
   sessions.RemoveToken(models.DB, store, sess.ID())
}

解决效果:

下面我们测试以上代码是否生效。

打开两个浏览器,同时使用EasyNVR这个用户登录系统,当第二个浏览器内的EasyNVR用户登录后,此时第一个浏览器内的EasyNVR用户登录会被挤下线,并且会返回提示信息,该功能生效。

RTSP拉流协议视频平台多点认证造成潜在威胁?如何破解?

上一篇:Unity环境下RTMP推流+RTMP播放低延迟解决方案


下一篇:RTSP协议智能安防监控系统EasyNVR硬件设备IP探测软件EasySearcher无法运行如何修复?