【安徽省中医院(互联网医院)-注册安全分析陈诉-无验证方式导致安全隐患】 ...

前言

由于网站注册入口容易被黑客攻击，存在如下安全问题：
1. 暴力破解暗码，造成用户信息泄露

2. 短信盗刷的安全问题，影响业务及导致用户投诉

3. 带来经济损失，尤其是后付费客户，风险巨大，造成亏损无底洞

所以大部分网站及App 都采取图形验证码或滑动验证码等交互解决方案， 但在机器学习本领进步的当下，连百度这样的大厂都遭受攻击导致点名品评， 图形验证及交互验证方式的安全性到底如何？ 请看具体分析
一、 安徽省中医院(互联网医院)- PC注册入口

简介：安徽中医药大学第一附属医院（安徽省中医院）位于安徽省会合肥西部，东邻风光奇丽的银河景区，西靠气势磅礴的五里飞虹。地理位置优越，交通方便快捷。医院现已成为安徽省一所综合性“三级甲等”中医医院，承担着全省中医药医疗、教学、科研、防备和保健的重要任务，是培养中医药临床人才的摇篮，是国家中医临床研究基地和国家药物临床试验机构，是我省干部保健定点医疗机构。

二、 安全性分析陈诉：

前端界面分析，安徽省中医院(互联网医院)未采取任何验证步伐，存在验证的安全隐患，偕行一样平常会在注册下发短信验证码时接纳图形验证、举动验证方式。

三、 测试方法：

1 模拟器交互部分

2. private final String INDEX_URL = "https://azyfy.health.zoenet.cn/#/register";
4.         @Override
5.         public RetEntity send(WebDriver driver, String areaCode, String phone) {
6.                 try {
7.                         RetEntity retEntity = new RetEntity();
8.                         driver.get(INDEX_URL);
9.                
10.                         // 输入手机号
11.                         Thread.sleep(500);
12.                         WebElement phoneElemet = driver.findElement(By.xpath("//input[@placeholder='请输入您的手机号']"));
13.                         phoneElemet.sendKeys(phone);
15.                         // 点击发送验证码按钮
16.                         Thread.sleep(500);
17.                         WebElement sendElemet = driver.findElement(By.xpath("//button/span[contains(text(),'获取验证码')]"));
18.                         if (sendElemet != null)
19.                                 sendElemet.click();
21.                         Thread.sleep(1500);
22.                         WebElement gtElemet = ChromeDriverManager.waitElement(driver, By.xpath("//button/span[contains(text(),'重新获取')]"), 1);
23.                         String gtInfo = (gtElemet != null) ? gtElemet.getText() : null;
24.                         retEntity.setMsg(gtInfo);
25.                         if (gtInfo != null && gtInfo.contains("重新获取")) {
26.                                 retEntity.setRet(0);
27.                         } else {
28.                                 System.out.println("gtInfo=" + gtInfo);
29.                         }
30.                         return retEntity;
31.                 } catch (Exception e) {
32.                         System.out.println("phone=" + phone + ",e=" + e.toString());
33.                         for (StackTraceElement ele : e.getStackTrace()) {
34.                                 System.out.println(ele.toString());
35.                         }
36.                         return null;
37.                 } finally {
38.                         driver.manage().deleteAllCookies();
39.                 }
40.         }

复制代码

2 测试结果输出：

1.   由于该网站无验证措施，本次测评非常简单

复制代码

四丶结语

安徽中医药大学第一附属医院（安徽省中医院）位于安徽省会合肥西部，东邻风光奇丽的银河景区，西靠气势磅礴的五里飞虹。地理位置优越，交通方便快捷。医院现已成为安徽省一所综合性“三级甲等”中医医院，承担着全省中医药医疗、教学、科研、防备和保健的重要任务，是培养中医药临床人才的摇篮，是国家中医临床研究基地和国家药物临床试验机构，是我省干部保健定点医疗机构。 医院作为涉及民生的重点事业单元，技能气力较弱采取采购产物的方式，采购了一家智业康健的软件产物，这家公司好像对短信被盗刷的方面不够器重或没有安全方面的经验 ，测试结果就是随便你怎么攻击都可以，这也有点太开放了， 短信验证码难道不要钱吗 ？ 这对黑客来说肯定是好消息， 弄个简单的脚本就可以搞定
   很多人在短信服务刚开始建设的阶段，大概不会在安全方面考虑太多，来由有很多。
比如：“ 需求这么赶，当然是先实现功能啊 ”，“ 业务量很小啦，系统就这么点人用，不怕的 ” ， “ 我们怎么会被盯上呢，不大概的 ”等等。
  有一些来由虽然有原理，但是该来的总是会来的。前期欠下来的债，总是要还的。越早还，问题就越小，损失就越低。
  所以各人在安全方面还是要器重。（血淋淋的栗子！）#安全短信#
  戳这里→康康你手机号在过多少网站注册过！！！
谷歌图形验证码在AI 面前已经形同虚设，所以谷歌宣布退出验证码服务， 那么当全部的图形验证码都被破解时，各人又该如何做好防御呢？
>>相关阅读
《腾讯防水墙滑动拼图验证码》
《百度旋转图片验证码》
《网易易盾滑动拼图验证码》
《顶象区域面积点选验证码》
《顶象滑动拼图验证码》
《极验滑动拼图验证码》
《利用深度学习来破解 captcha 验证码》
《验证码终结者-基于CNN+BLSTM+CTC的练习部署套件》

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。