賬號安全之掃號
作者:
·
2014/05/26 12:55
0x00 背景
何為掃號(黑產術語),通俗講就是拿別人網站的資料庫,嘗試當前想要破解使用者賬戶的網站。
自從csdn的明文600萬,到貓撲,天涯,多玩,7k7k等陸續爆出密碼,掃號大軍慢慢從地下逐步顯現出來。已然成為當前賬戶安全的第一大殺手。沒錯,是第一。
誠然支付寶資料庫再嚴密,也無法抵擋賬戶被掃的命運。
WooYun: 支付寶某介面存在安全隱患可被利用撞庫(有證明)!
誠然京東沒有顯示被脫褲,也無奈放出掃號賬號密碼對其的一番炒作。
那麼對於使用者和開發者,對掃號有好的辦法嗎?
0x01 防禦
對於使用者而言,最好每個網站密碼不同,當然這個需要極高的安全意識,和良好的使用者習慣。
比如京東賬號在原有密碼前可以加jd,或者在後面加。支付寶可以加zfb等方式。
對於開發者而言,又有什麼好辦法呢? 首先要開發者要意識到,道高一尺,魔高一丈。掃號問題是2方的不斷比拼,下面從基本的幾個地方對於開發者進行一個普及。
1 完全無驗證碼,且ip訪問無限制。
2 密碼輸入錯誤幾次出現驗證碼,但是對於不斷更換賬號登陸即不會出現驗證碼
3 頁面不重新整理驗證碼無限次使用
4 判斷使用者cookies某值是否訪問過,只要請求不帶cookies就能繞過
5 主站有驗證碼,但是wap,移動客戶端都沒有,直接透過攔截請求可繞過
6 https對防掃號基本無用,只是傳輸加密
以上幾點只是拋磚引玉,邏輯漏洞開發人員儘量避免。掃號無非就是透過如下幾點來達到驗證賬戶的目的。
1 無驗證碼和訪問限制直接掃號
2 透過邏輯漏洞繞過已有驗證碼策略掃號
3 控制時間頻度掃號
4 不斷更換ip進行掃號
5 識別驗證碼進行掃號
開發者在防禦上也可以基於上面幾點。
下面介紹某大型電商網站的一個例子
希望能對使用者和開發者警示。(電商賬戶被盜事件相信都已進入大夥視線)
某大型電商網站某介面沒有做限制,無驗證碼(當然單個賬號錯誤幾次後有)
某工具引數化後發現不少賬號密碼已經成功
登陸嘗試可以登陸
希望不管還是使用者,開發都能夠看完此篇後,對於賬戶安全有一定重視,沒有2方的共同努力,安全都是空談,就好比使用者密碼都用排名前10的如123456,520520。安全的建設也需要使用者的共同進步。
本文章來源於烏雲知識庫,此映象為了方便大家學習研究,文章版權歸烏雲知識庫!
相關文章
- 使用者賬號個組賬號概述
- 搜狐號多賬號運營工具,多個賬號同步運營
- linux使用者賬號和組賬號概述Linux
- 關於賬號安全的一些思考
- 搜狐號多賬號管理工具,管理多個自媒體賬號
- windows賬號克隆Windows
- 賬號遷移
- 蘋果企業賬號和個人賬號區別蘋果
- 大魚號多賬號管理工具,管理200+自媒體賬號
- IPIDEA分享|Facebook賬號如何實現安全運營?Idea
- 《Steam賬號被盜》
- 申請 mysql 賬號MySql
- 蘋果開發者賬號最新註冊流程(公司賬號篇)蘋果
- windows10如何新增賬號_windows10新增賬號的方法Windows
- 賬號越來越難申請,蘋果企業賬號回收蘋果
- 短影片多賬號管理系統,多平臺多賬號同步
- 百家號多賬號運營系統,多平臺運營自媒體賬號
- 乾貨 | 京東雲賬號安全管理最佳實踐
- 撞庫掃號防範
- 蘋果開發者賬號最新註冊流程(個人賬號篇)蘋果
- Git 多賬號 SSH 配置Git
- 多賬號登入控制
- 如何註冊facebook賬號
- 如何切換SVN賬號
- 快手多賬號運營工具,多個賬號同時進行運營
- 趣頭條多賬號運營工具,運營200+賬號,提高收益
- 短影片多賬號管理平臺,一鍵釋出多個影片賬號
- 哈囉出行如何申請登出賬號?哈囉出行登出賬號的方法
- 【IT運維】如何有效保障伺服器賬號密碼安全?運維伺服器密碼
- 企鵝號多賬號運營工具,運營200+自媒體賬號,分發30+平臺
- 蘋果企業開發者賬號:個人開發者賬號被封原因蘋果
- 自媒體賬號管理系統,輕鬆管理200個賬號,省心又省事
- 搜狐號一鍵同步助手,多個賬號一鍵同步
- Postman無法登入賬號Postman
- CLOI 公用賬號使用須知
- Codepipeline 跨賬號訪問 CodecommitMIT
- 賬號和許可權管理
- selenium開啟指定Chrome賬號Chrome