前言
由于网站注册入口容易被黑客攻击,存在如下安全问题:
- 暴力破解密码,造成用户信息泄露
- 短信盗刷的安全问题,影响业务及导致用户投诉
- 带来经济损失,尤其是后付费客户,风险巨大,造成亏损无底洞
所以大部分网站及App 都采取图形验证码或滑动验证码等交互解决方案, 但在机器学习能力提高的当下,连百度这样的大厂都遭受攻击导致点名批评, 图形验证及交互验证方式的安全性到底如何? 请看具体分析
一、 药智网PC 注册入口
简介:药智网—健康产业大数据服务与赋能平台,是国内较早对医药数据开展深度加工,结构化重构、可视化呈现、大数据成果输出的数据应用服务商。
历经十余载发展,药智网形成了集药智数据、药智咨询、药智传媒、产业生态云集和解决方案专家于一体的健康产业综合服务平台。。
安全分析:
采用传统的图形验证码方式,具体为4个英文,ocr 识别率在 95% 以上。
测试方法:
采用模拟器+OCR识别
测试返回结果:
测试报告 :
二、 药智网App 端注册入口
app 端点击获取验证码,没有图形验证流程。
报文抓取:
APP安全分析:
App端经过360加固, 采取RSA加密措施,用工具(drizzleDumper) 经过脱壳后逆向出源码(具体步骤参考其它教程),手机号加密保护算法暴露。
加密算法复原后的算法 (稍后)
四丶结语
药智网作为老牌的健康产业大数据服务与赋能平台,属于高科技企业, 采用的缺是老一代的图形验证码已经落伍了, 用户体验差,还容易被破解。
App 端虽然采用了360加固, 但懂技术的都知道, 客户端无论如何都有可能被逆向,靠加固是否无法保证安全的,脱壳后的算法就如同皇帝的新装,暴露在黑客面前。。
很多人在短信服务刚开始建设的阶段,可能不会在安全方面考虑太多,理由有很多。
比如:“ 需求这么赶,当然是先实现功能啊 ”,“ 业务量很小啦,系统就这么点人用,不怕的 ” , “ 我们怎么会被盯上呢,不可能的 ”等等。有一些理由虽然有道理,但是该来的总是会来的。前期欠下来的债,总是要还的。越早还,问题就越小,损失就越低。
所以大家在安全方面还是要重视。(血淋淋的栗子!)#安全短信#
谷歌图形验证码在AI 面前已经形同虚设,所以谷歌宣布退出验证码服务, 那么当所有的图形验证码都被破解时,大家又该如何做好防御呢?
>>相关阅读
《腾讯防水墙滑动拼图验证码》
《百度旋转图片验证码》
《网易易盾滑动拼图验证码》
《顶象区域面积点选验证码》
《顶象滑动拼图验证码》
《极验滑动拼图验证码》
《使用深度学习来破解 captcha 验证码》
《验证码终结者-基于CNN+BLSTM+CTC的训练部署套件》
502
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
