账号安全之扫号


0x00 背景


何为扫号(黑产术语),通俗讲就是拿别人网站的数据库,尝试当前想要破解用户账户的网站。

自从csdn的明文600万,到猫扑,天涯,多玩,7k7k等陆续爆出密码,扫号大军慢慢从地下逐步显现出来。已然成为当前账户安全的第一大杀手。没错,是第一。

诚然支付宝数据库再严密,也无法抵挡账户被扫的命运。

WooYun: 支付宝某接口存在安全隐患可被利用撞库(有证明)!

诚然京东没有显示被脱裤,也无奈放出扫号账号密码对其的一番炒作。

京东数据库泄露事件分析

那么对于用户和开发者,对扫号有好的办法吗?

0x01 防御


对于用户而言,最好每个网站密码不同,当然这个需要极高的安全意识,和良好的用户习惯。

比如京东账号在原有密码前可以加jd,或者在后面加。支付宝可以加zfb等方式。

对于开发者而言,又有什么好办法呢? 首先要开发者要意识到,道高一尺,魔高一丈。扫号问题是2方的不断比拼,下面从基本的几个地方对于开发者进行一个普及。

1 完全无验证码且ip访问无限制
2 密码输入错误几次出现验证码但是对于不断更换账号登陆即不会出现验证码
3 页面不刷新验证码无限次使用
4 判断用户cookies某值是否访问过只要请求不带cookies就能绕过
5 主站有验证码但是wap移动客户端都没有直接通过拦截请求可绕过
6 https对防扫号基本无用只是传输加密

以上几点只是抛砖引玉,逻辑漏洞开发人员尽量避免。扫号无非就是通过如下几点来达到验证账户的目的。

1 无验证码和访问限制直接扫号
2 通过逻辑漏洞绕过已有验证码策略扫号
3 控制时间频度扫号
4 不断更换ip进行扫号
5 识别验证码进行扫号

开发者在防御上也可以基于上面几点。

下面介绍某大型电商网站的一个例子

WooYun: 电商普及型安全-美团扫号篇(接口设计不当)

希望能对用户和开发者警示。(电商账户被盗事件相信都已进入大伙视线)

某大型电商网站某接口没有做限制,无验证码(当然单个账号错误几次后有)

某工具参数化后发现不少账号密码已经成功

登陆尝试可以登陆

希望不管还是用户,开发都能够看完此篇后,对于账户安全有一定重视,没有2方的共同努力,安全都是空谈,就好比用户密码都用排名前10的如123456,520520。安全的建设也需要用户的共同进步。

评论

瞌睡龙 2014-05-26 12:56:33

货不够干,等作者多发一些策略 :)

小胖胖要减肥 2014-05-26 15:42:08

我下次整个yy的

瞌睡龙 2014-05-26 16:34:08

这周内吧,挤一挤就有了

P

px1624 2014-05-26 16:51:20

好短

郭斯特 2014-05-26 18:55:03

短……不过很赞~

饭粒重生 2014-05-26 21:41:27

干货要多放点啊。。。

动后河 2014-05-26 23:27:04

某工具看上去版本很低啊,我都1.6破解版了。
“我下次整个yy的”,已经放出话了,多玩要注意了

B

Bloodwolf 2014-05-27 19:49:47

撞裤,主要有验证码就不用 BP了。直接用自定义API打码接口,当然前提是搞下来有money赚!

Z

zzR 2014-05-28 08:33:34

mark 阅读: 1,000

X

xiaoL 2014-05-28 16:16:30

没有2方的共同努力...- -
高级黑啊...
科普了...

小贱人 2014-05-28 17:09:21

已阅

F

F4K3R 2014-05-28 17:45:42

Thx! 感觉楼主泄漏自己密码习惯了。。

风萧萧 2014-06-02 08:30:24

就没了?

S

se55i0n 2014-06-12 20:01:47

哈哈,丢点裤子上来,占下篇幅~

H

HackBraid 2014-08-19 21:45:13

结合看了下,赞!

W

wangy3e 2014-08-24 22:19:43

太easy了,还有干货么

黑吃黑 2014-09-28 12:47:34

大哥,能把怎么用工具,写详细点吗

李旭敏 2015-03-18 14:56:19

楼主太短了···

小胖胖要减肥

这个人很懒,没有留下任何介绍

twitter weibo github wechat

随机分类

IoT安全 文章:29 篇
木马与病毒 文章:125 篇
Ruby安全 文章:2 篇
Android 文章:89 篇
其他 文章:95 篇

扫码关注公众号

WeChat Offical Account QRCode

最新评论

Article_kelp

因为这里的静态目录访功能应该理解为绑定在static路径下的内置路由,你需要用s

N

Nas

师傅您好!_static_url_path那 flag在当前目录下 通过原型链污

Z

zhangy

你好,为什么我也是用windows2016和win10,但是流量是smb3,加密

K

k0uaz

foniw师傅提到的setfge当在类的字段名成是age时不会自动调用。因为获取

Yukong

🐮皮

目录