前言
由于网站注册入口容易被黑客攻击,存在如下安全问题:
1. 暴力破解密码,造成用户信息泄露
2. 短信盗刷的安全问题,影响业务及导致用户投诉
3. 带来经济损失,尤其是后付费客户,风险巨大,造成亏损无底洞
以是大部分网站及App 都接纳图形验证码或滑动验证码等交互解决方案, 但在机器学习能力提高的当下,连百度如许的大厂都遭受攻击导致点名品评, 图形验证及交互验证方式的安全性到底怎样? 请看具体分析
一、 浪潮商城PC 注册入口
简介:浪潮集团是中国领先的云计算、大数据服务商,拥有浪潮信息、浪潮软件、浪潮数字企业三家上市公司。重要业务涉及计算装备、软件、云计算服务、新一代通讯、大数据及若干应用场景。已为全球一百二十多个国家和地区提供IT产物和服务。
二、 安全性分析报告:
前端界面分析,浪潮商城未接纳任何验证步伐,存在严肃的安全隐患,同行一般会在注册下发短信验证码时接纳图形验证、举动验证方式
三、 测试方法:
1 模仿器交互部分
- private final String INDEX_URL = "https://mall.inspur.com/register";
- @Override
- public RetEntity send(WebDriver driver, String areaCode, String phone) {
- try {
- RetEntity retEntity = new RetEntity();
- driver.get(INDEX_URL);
- // 请输入注册帐号
- Thread.sleep(500);
- String user = "Abc" + System.currentTimeMillis();
- WebElement userElement = driver.findElement(By.xpath("//input[@placeholder='请输入注册帐号']"));
- userElement.clear();
- userElement.sendKeys(user);
- // 密码
- String password = "Jgy4VN&])i_" + System.currentTimeMillis();
- WebElement passElement = driver.findElement(By.xpath("//input[@placeholder='请输入密码']"));
- passElement.sendKeys(password);
- WebElement passConfirmElement = driver.findElement(By.xpath("//input[@placeholder='请再次输入密码']"));
- passConfirmElement.sendKeys(password);
- // 输入手机号
- Thread.sleep(500);
- WebElement phoneElemet = driver.findElement(By.xpath("//input[@placeholder='请输入手机号码']"));
- phoneElemet.sendKeys(phone);
- driver.findElement(By.className("ant-checkbox-input")).click();
- // 点击发送验证码按钮
- Thread.sleep(1000);
- // 点击智能按钮
- boolean isRobot = true;
- int beginX = 525;
- int beginY = 625;
- if (isRobot) {
- RobotMove.click(beginX, beginY);
- } else {
- WebElement sendElemet = driver.findElement(By.xpath("//button/span[contains(text(),'发送验证码')]"));
- sendElemet.click();
- }
- Thread.sleep(1000);
- WebElement gtElemet = ChromeDriverManager.waitElement(driver, By.xpath("//button/span[contains(text(),'秒后重发')]"), 15);
- String gtInfo = (gtElemet != null) ? gtElemet.getText() : null;
- retEntity.setMsg(gtInfo);
- if (gtInfo != null && gtInfo.contains("秒后重发")) {
- retEntity.setRet(0);
- } else {
- System.out.println("gtInfo=" + gtInfo);
- }
- return retEntity;
- } catch (Exception e) {
- System.out.println("phone=" + phone + ",e=" + e.toString());
- for (StackTraceElement ele : e.getStackTrace()) {
- System.out.println(ele.toString());
- }
- return null;
- } finally {
- driver.manage().deleteAllCookies();
- }
- }
四丶结语
浪潮集团是中国领先的云计算、大数据服务商,拥有浪潮信息、浪潮软件、浪潮数字企业三家上市公司。重要业务涉及计算装备、软件、云计算服务、新一代通讯、大数据及若干应用场景。已为全球一百二十多个国家和地区提供IT产物和服务。作为国内做电脑硬件起家发展为综合型大型科技企业,拥有雄厚的技术实力,但好像对短信被盗刷的安全方面不够重视 ,测试效果就是恣意你怎么攻击都可以,这也有点太开放了, 短信验证码难道不要钱吗 ? 这对黑客来说肯定是好消息, 弄个简单的脚本就可以搞定
许多人在短信服务刚开始创建的阶段,可能不会在安全方面思量太多,来由有许多。
比如:“ 需求这么赶,当然是先实现功能啊 ”,“ 业务量很小啦,体系就这么点人用,不怕的 ” , “ 我们怎么会被盯上呢,不可能的 ”等等。
有一些来由固然有道理,但是该来的总是会来的。前期欠下来的债,总是要还的。越早还,问题就越小,损失就越低。
以是大家在安全方面还是要重视。(血淋淋的栗子!)#安全短信#
戳这里→康康你手机号在过多少网站注册过!!!
谷歌图形验证码在AI 面前已经形同虚设,以是谷歌公布退出验证码服务, 那么当所有的图形验证码都被破解时,大家又该怎样做好防御呢?
>>相关阅读
《腾讯防水墙滑动拼图验证码》
《百度旋转图片验证码》
《网易易盾滑动拼图验证码》
《顶象地区面积点选验证码》
《顶象滑动拼图验证码》
《极验滑动拼图验证码》
《使用深度学习来破解 captcha 验证码》
《验证码闭幕者-基于CNN+BLSTM+CTC的练习摆设套件》
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。 |
