【技术揭秘】Facebook密码重置漏洞,黑客利用该漏洞重置任意FB账号

转载 2016年08月30日 10:44:18

最近一直在琢磨产方向和产品的事情,通过拉勾、智联招聘、it桔子、36kr、google等网站,几乎看遍国内外所有安全公司方向及产品,从这些公司活着的状态,思考清楚不少问题。

首先关于方向



TO B:

安全创业to c还是to b,基本不存在差异观点,安全要想直接从用户收钱回来,都认为得做B端用户,而且要做大B,前车之鉴比如安全狗、加速乐、网站卫士等等,他们的客户基本属于小企业,小企业很明显的问题在于付费能力弱,更严重的问题在于,如果不是垂直领域如风控、抗D,小企业根本没有很重的安全需求。靠销售团队推产品,你会发现软磨硬泡终于有人愿意买,结果只有几千到两三万预算,这也是为什么这类做小B的安全公司,烧了一轮一轮钱,却没有起色,最本质的问题在于目标客户没有需求没有付费能力。

大客户虽然财大气粗,但一样存在很难做的问题。

1、项目推进流程慢。

我们最早的时候也接触过一些中小型客户,从接触客户到最终项目落地完成,中间只需要两三周时间,谈需求-签合同-实施,一气呵成。而对于大客户,先沟通需求,看实施可行性,然后上级审批,申请预算、过法务、财务,一个文件发过去,一两周没有响应,转眼三四个月已经过去。讲个我经历的例子,在阿里这种量级的公司,先不说客户方的流程时间,自己卖出去一次渗透测试,光内部就要经过11层审批,涉及到18个人,内耗相当严重,有的项目真的是被活活拖死。

2、定制化需求多。

本来想做点互联网化的Saas产品,结果东西做出来客户一看,嗯~,“功能不够,我们需要XX功能”,“我们需要离线版本,内部不允许连接外网”,“我们要跟内部系统打通,需要API”,完了一大堆需求,做还是不做?做了成本太高或者跟传统解决方案没区别,不做又拿不下客户。

OK,那就只剩中型客户,这类客户几万的预算抛掉成本根本没多大点赚头。

在客户这块阿里跟百度是比较鲜明对比的例子,阿里有阿里云,有庞大的中小型客户资源,而且这类客户购买决策比较快,适合重运营轻销售来做市场,而百度云做的比较晚,先机已失,依靠一个大销售团队做大客户,客单价高,销售背的业绩压力比较大,属于重销售,其实这类公司很多,有的几百人的公司里,销售占总人数一半以上。

TO C

除了B端,还有C端市场,C端虽然用户基数大,但是愿意为安全付费的少之又少,以前付费的杀毒领域已经被360免费掉,现在跟个人利益挂钩的无非隐私及钱,如果你告诉我,我在P2P平台放20万块钱,你给我个保险,保证我这个钱肯定不会丢,保险价格又不贵,那我还是愿意付费,不过这是为保险付费,不是信息安全。再一个你能保证我的隐私安全,比如密码、照片、地址、手机号这些信息绝对不会被泄露,我也还是愿意付费,前提是不贵。

TO B&TO C

还有一种模式是to c且to b,连接C端和B端,很典型的像去哪儿、美团这类,安全这块有sobug、wooyun,可以依靠B端收回来的钱支撑运营。

总结下来,小客户没需求,中客户没赚头,大客户耗不起,to c不赚钱,最终只能不to b,不to c,赚不到钱就都跑去to vc。


再说产品



一家公司有没有被收购可能性,一看产品二看团队,产品不好,你有几个大牛,还是有被收购的可能,早两年阿里收购的几个案子其实就是奔着收人。而一家公司能不能做大,最初市场破局的点,还是要看产品。

所以安全得靠近客户业务做产品,且产品符合刚需、痛点、高频、壁垒、持续付费。

刚需、痛点

正常公司永远是业务为先,什么样的产品是刚需、痛点,你不用那业务就没法做,眼中钉肉中刺,这样贴近业务的产品才是刚需和痛点,不那么刚需的产品不好卖,发展也很慢,最终请客户洗个脚打个炮,靠关系硬推变的很没意思。

高频

DDOS攻击,对于P2P、电商一类的企业来说,相当够痛点吧。但是抗D的问题在于不高频,用户出问题的时候才想到你,意味着粘性通常不够,容易被换掉,什么样的产品够高频,手机、电脑、水、电、网络,无时无刻都要用到,基础设施才最高频最刚需。

壁垒

投资人通常不喜欢投没有壁垒的产品,这类产品能很快被抄,能赚钱不值钱,没有被收购的价值或者上市的可能,投资人无法套现,值钱有壁垒比较鲜明的像阿里云、亚马逊,早期虽然一直亏钱,但亏掉的钱都拿去做大盘子,做大想象空间,拉开距离,所以估值会一直涨。从做公司角度看,壁垒不单单指的技术壁垒,还有市场壁垒、资源壁垒等,如果这些壁垒都没有,那这家公司更没竞争力。

持续付费

客户不能持续付费的两个可能

1、产品质量太好。

买了十年不坏,比如ipad、企业路由器、满足需求的软件产品等等,做C端客户还好,因为客户基数大,如果你做B端大客户,付费频率低的话,就得单价特别高,或者不断做新的东西。

2、产品太烂,不愿意买。

这个不解释。

做产品一定要能够持续付费,才能更长久。

拥有以上几个特性的产品,成交一定会非常快,也基于以上几个特性,说说我比较看好的几个产品方向。

产品方向

1、风控

风控吃的电商、金融、游戏等垂直领域市场,且满足刚需、痛点、高频、壁垒、持续付费。

国内领域代表企业:岂安、通付盾、同盾、阿里云反欺诈。

2、抗D

阿里、百度卖的最好,最赚钱的就是高防,而且一旦出现问题,成交非常快,因为人家要保命,抗D依然吃的跟风控一样领域的客户,且满足痛点、壁垒、持续付费,缺少的是高频。

国内领域代表企业:阿里云、百度云、腾讯云、电信云堤

3、身份认证

身份认证是刚需,但是这类安全产品倒不是那么刚需,通过很简单的登录就能解决认证的问题,一般企业内部不太需要很强的安全认证,不过近年的拖库、撞库事件,导致了身份认证这个痒点越来越痒,企业安全中最蛋疼的问题列表一定不会少了弱口令、员工通用密码,但这些场景都不跟业务挂钩,只有放在客户产品中,跟业务挂钩的时候才需求重一点,所以安全认证产品不是那么刚需,但也满足高频、壁垒、持续付费。

国内领域代表企业:飞天诚信、洋葱、安讯奔等

如果你想创业,认真想想这个文章中的观点,应该会有所收获。

来源:安全客

链接:http://bobao360.cn/news/detail/3506.html

相关文章推荐

看好你的门-验证机制被攻击(4)-密码修改、重置功能常见漏洞

互联网中,有用户注册的地方,基本就会有密码找回的功能。 密码找回功能一般不太被重视,往往是一个附属功能,简直就是一个天生的大坑,而且在越来越重视用户友好体验的今天,支持各种密码重置的功能层出不穷,功...
  • ffm83
  • ffm83
  • 2015年03月09日 12:37
  • 944

一些常见的重置密码漏洞分析整理

0x00 前言 一般的密码重置的设计都是分为以下四步的: 1.输入账户名 2.验证身份 3.重置密码 4.完成   通常漏洞是会存在于2或者3步骤中,下面来看看常见的一些重置密码漏洞的方式...

zblogphp后台账号密码重置

适用于zblogphp,新建文件:nologin.php,传到根目录,最后删除本文件。 require './zb_system/function/c_system_base.php';...
  • yangowq
  • yangowq
  • 2015年12月25日 13:22
  • 891

通过光盘重置administrator账号密码

Server2008R2版以上的windows,以前的光盘破解已经不好用了,本文介绍使用Server2008R2安装光盘,来重置系统账号密码(Server2008R2以上的版本也适用哦,不同系统要对应...

Oracle 用户账号解锁、密码重置、设置密码永不过期

Oracle 用户账号解锁 密码重置 设置密码永不过期
  • Seandba
  • Seandba
  • 2017年06月26日 10:44
  • 286

新网某处设计缺陷可任意用户密码重置及手机号密码密文泄漏(大众点评网为例)

简要描述: 新网某处设计缺陷可任意用户密码重置及手机号密码密文泄漏(大众点评网为例) 详细说明: 重置密码要先从敏感信息泄漏开始 code 区域 POST /user/userl...

VtigerCRM重置管理员密码

  • 2017年11月06日 15:39
  • 49KB
  • 下载

Ha_Passwarekit9.3 office密码重置

  • 2016年11月23日 16:50
  • 13.68MB
  • 下载

重置CentOS 7的Root密码

CentOS7 虚拟机一段时间没有使用,root密码不记得了,从网上找到的修改root密码的方法,在这里记录一下。 1 - 在启动grub菜单,选择编辑选项启动 2 - 按键盘e键,来进入编...
  • xundh
  • xundh
  • 2014年12月25日 10:33
  • 841
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:【技术揭秘】Facebook密码重置漏洞,黑客利用该漏洞重置任意FB账号
举报原因:
原因补充:

(最多只允许输入30个字)