小胖胖要** · 2014/05/26 12:55
何為掃號(黑產術語),通俗講就是拿別人**的資料庫,嘗試當前想要破解使用者賬戶的**。
自從csdn的明文600萬,到貓撲,天涯,多玩,7k7k等陸續爆出密碼,掃號大軍慢慢從地下逐步顯現出來。已然成為當前賬戶安全的第一大殺手。沒錯,是第一。
誠然支付寶資料庫再嚴密,也無法抵擋賬戶被掃的命運。
wooyun: 支付寶某介面存在安全隱患可被利用撞庫(有證明)!
誠然京東沒有顯示被脫褲,也無奈放出掃號賬號密碼對其的一番炒作。
京東資料庫洩露事件分析
那麼對於使用者和開發者,對掃號有好的辦法嗎?
對於使用者而言,最好每個**密碼不同,當然這個需要極高的安全意識,和良好的使用者習慣。
比如京東賬號在原有密碼前可以加jd,或者在後面加。支付寶可以加zfb等方式。
對於開發者而言,又有什麼好辦法呢? 首先要開發者要意識到,道高一尺,魔高一丈。掃號問題是2方的不斷比拼,下面從基本的幾個地方對於開發者進行乙個普及。
1 完全無驗證碼,且ip訪問無限制。
2 密碼輸入錯誤幾次出現驗證碼,但是對於不斷更換賬號登陸即不會出現驗證碼
3 頁面不重新整理驗證碼無限次使用
4 判斷使用者cookies某值是否訪問過,只要請求不帶cookies就能繞過
5 主站有驗證碼,但是wap,移動客戶端都沒有,直接通過攔截請求可繞過
6 https對防掃號基本無用,只是傳輸加密
複製**
以上幾點只是拋磚引玉,邏輯漏洞開發人員盡量避免。掃號無非就是通過如下幾點來達到驗證賬戶的目的。
1 無驗證碼和訪問限制直接掃號
2 通過邏輯漏洞繞過已有驗證碼策略掃號
3 控制時間頻度掃號
4 不斷更換ip進行掃號
5 識別驗證碼進行掃號
複製**
開發者在防禦上也可以基於上面幾點。
下面介紹某大型電商**的乙個例子
wooyun: 電商普及型安全-美團掃號篇(介面設計不當)
希望能對使用者和開發者警示。(電商賬戶被盜事件相信都已進入大夥視線)
某大型電商**某介面沒有做限制,無驗證碼(當然單個賬號錯誤幾次後有)
某工具引數化後發現不少賬號密碼已經成功
登陸嘗試可以登陸
希望不管還是使用者,開發都能夠看完此篇後,對於賬戶安全有一定重視,沒有2方的共同努力,安全都是空談,就好比使用者密碼都用排名前10的如123456,520520。安全的建設也需要使用者的共同進步。
mysql 賬號安全 mysql 賬號安全管理
toc toc 1 訪問控制 mysql伺服器的安全基礎是 使用者應該對他們需要的資料具有適當的訪問權,既不能多也不能少。換句話說,使用者不能對過多的資料具有過多的訪問權。不要使用root 應該嚴肅對待root登入的使用。僅在絕對需要時使用它 或許在你不能登入其他管理賬號時使用 不應 該在日常的my...
CentOS 7系統安全之賬號安全
在 linux 系統中,除了超級使用者 root 之外,還有其他大量賬號只是用來維護系統運作 啟動或保持服務程序,一般是不允許登入的,因此也稱為非登入使用者賬號。為了確保系統的安全,這些使用者賬號的登入 shell 通常被設為 sbin nologin,表示禁止終端登入。對於 linux 伺服器中長...
掃支付寶賬號猜安全問題 黑客團夥盜竊32萬
www.2cto.com 通過這種方式找回密碼的安全性堪憂。應該走向更豐富的具備安全性的方式。近日,乙個專門盜竊支付寶 賬號的團夥被杭州 和支付寶公司聯合破獲。奇的是,這個團夥是通過軟體掃號方式蒐集支付寶賬號,再以猜密碼保護問題答案的方式替換賬號密碼 換綁手機,從而盜取賬號內的資金。初步調查顯示,這...