[发明专利]一种多平台账户的安全防御方法及装置

说明书

本发明实施例公开了一种多平台账户的安全防御方法及装置，方法包括：若判断获知当前账户从第一平台切换至第二平台，则获取第一平台的第一用户标识和第二平台的第二用户标识；若判断获知第一用户标识和第二用户标识相同，且第一平台的登录认证标识不为空，则允许当前账户切换登录至第二平台；若判断获知第一用户标识和第二用户标识不同，或第一平台的登录认证标识为空，则拒绝当前账户切换登录至第二平台。通过判断第一平台和第二平台的用户标识确定两个平台是否共用同一多平台账户，通过判断第一平台的登录认证标识是否为空确定第一平台是否是通过正常的登录界面登录，以防止XSS的多平台账户的泄露，更好地对各网站进行安全防御。

技术领域

本发明实施例涉及网络安全技术领域，具体涉及一种多平台账户的安全防御方法及装置。

背景技术

随着互联网的风靡和发展，人人都需要在互联网中留下自己的账户凭证以轻松地管理自己的信息，财务等资产。而每一家公司的产品，最重要的部分之一也一定是账户系统。与此同时，账户逐渐变得十分有价值，网络黑客有利可图，则使用各种技术尝试攻破账户系统以获取利益。国家也将互联网安全作为互联网发展的第一要务。

常见的账号窃取，攻破方式有：XSS(Cross Site Scripting，跨站脚本攻击)，SQL(Structured Query Language，结构化查询语言)注入攻击，撞库、强破等等。XSS攻击全称跨站脚本攻击，为了不和层叠样式表(Cascading Style Sheets，CSS)的缩写混淆，故将跨站脚本攻击缩写为XSS，XSS是一种在web应用中的计算机安全漏洞，它允许恶意web用户将代码植入到提供给其它用户使用的页面中。而该代码具备获取加密的登录标识，由此则可以不获取用户明文信息的情况下伪装该用户使用网站服务，甚至直接攻破使用该账号系统的所有平台。SQL注入攻击是黑客对数据库进行攻击的常用手段之一，随着B/S模式应用开发的发展，使用这种模式编写应用程序的程序员也越来越多，但是由于程序员的水平及经验也参差不齐，相当大一部分程序员在编写代码的时候，没有对用户输入数据的合法性进行判断，使应用程序存在安全隐患。用户可以提交一段数据库查询代码，根据程序返回的结果，获得某些他想得知的数据，这就是所谓的SQL Injection，即SQL注入。如：某个网站的登录验证的SQL查询代码为：strSQL＝″SELECT*FROM users WHERE(name＝″′+userName+″′)and(pw＝″″+passWord+″′)；″恶意填入userName＝″1′OR′1′＝′1″；与passWord＝″1′OR′1′＝′1″；时，将导致原本的SQL语句被填为strSQL＝″SELECT*FROM users WHERE(name＝′1′OR′1′＝′1′)and(pw＝′1′OR′1′＝′1′)；″也就是实际上运行的SQL命令会变成下面这样的strSQL＝″SELECT*FROM users；″因此达到无账号密码，亦可登录网站。所以SQL注入攻击被俗称为黑客的填空游戏；在获取到了用户登录信息后，则可以进行撞库，大部分人在使用互联网账户时，使用的密码都近乎一致，对此则有机可乘，在获取到一定量账户信息时，则可以对更多的网站进行尝试，这就是撞库攻击；而强破是使用机器对一个已知用户名的账户进行无限次密码尝试。

现有的互联网环境中，很多网站都无法对多平台账户的泄露进行很好地识别，导致XSS安全防御失败。

发明内容

由于现有方法存在上述问题，本发明实施例提出一种多平台账户的安全防御方法及装置。

第一方面，本发明实施例提出一种多平台账户的安全防御方法，包括：

若判断获知当前账户从第一平台切换至第二平台，则获取所述第一平台的第一用户标识和所述第二平台的第二用户标识；

若判断获知所述第一用户标识和所述第二用户标识相同，且所述第一平台的登录认证标识不为空，则确认所述当前账户为安全的多平台账户，并允许所述当前账户切换登录至所述第二平台；