v5行为验证使用介绍(一)- 试探攻击的威胁

目录

v5行为验证使用介绍(一)- 试探攻击的威胁
v5行为验证使用介绍(二)- 应用管理
v5行为验证使用介绍(三)- 程序接入流程
v5行为验证使用介绍(四)- Verify5Client.java

我们在做产品开发或者项目开发的时候,往往主要是关注功能和性能的实现,这在项目上线的前期,往往是没有问题的。但是随着项目的深入运营,各种功能性之外的风险和问题就暴露了出来,数据安全风险就是其中之一。一个未加防护的应用,往往包括以下安全风险:

  • 网络入侵
  • 操作系统漏洞
  • 编程语言漏洞
  • 框架、中间件漏洞
  • SQL注入、XSS注入
  • 管理制度漏洞
  • 等等

除此之外,还有一类常见的攻击,可成为试探攻击,表现在各个场景可以叫做不同的名称,例如:

方式 造成损失
大量的爬虫、机器人程序正在24小时抓取数据 数据泄露
恶意用户利用已登陆的Session进行全站数据抓取 数据泄露
针对密码登陆进行字典破解或者暴力破解 用户隐私泄露、关键数据泄露
针对短信登陆场景高频触发短信发送 封短信通道、造成经济损失
机器人暴力注册 产生大量垃圾账号,清理账号成本高,可能造成用户流失

以下是笔者从网站访问历史里抓取的常见爬虫UA:
爬虫UA收集

这些都是极易被识别的,还有一些浏览器模仿程序,可以伪装成真实的浏览器,就难以被判定了。例如:

  • Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/76.0.3809.100 Safari/537.36
  • Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:68.0) Gecko/20100101 Firefox/68.0

很长一段时间以来,针对试探攻击我们都是采用图形验证码的方式来预防,
常见图形验证码

可是技术进化到今天,深度学习技术已经能够很好地对图形进行视觉识别了,一方面,借助各大“打码平台”的众包数据支撑,常见的验证码识别率可高达95%以上,另一方面,简单的图形验证码机制是可以反复无成本重试的,所以到今天,且不说用户体验如何,图形验证码在安全防护方面可以说是“形同虚设”。下面是某个打码平台自动识别的结果:
某平台自动识别结果

有趣的是,这个打码平台自己也使用图形验证码进行防护,且其API也可对其图形验证码进行精准识别。

图形验证码还有一些变种,例如算式、中文等,但在AI时代都起不到很好的防护效果,破解的成本不会有太大的提高。

因此,笔者总结出如下结论:

  • 大数据“黑产”远比想象的厉害,网站没有受到攻击不是技术问题,而是没有利益驱动。
  • 对于大多数网站来说,数据被窃取是无法主动察觉的。
  • 在“AI”/“众包”时代,“白盒模式”验证已无法保护网站安全,“黑盒模式+大数据智能分析”是未来主流验证方式。
    现在市场上已经有了一类“行为验证”的产品,可以有效的试探攻击进行防护,常见的包括极验、顶象、数美等,腾讯云也有相应的组件,但都是偏向于行业头部企业或大型企业,中小网站接入往往需要付出比较高的代价。

本系列文章介绍一个新兴的行为验证码组件-v5验证,主要提供对滑块拼图的行为数据验证服务,可以解决中小网站和系统在登陆、注册、关键数据保护等主要的应用场景的安全防护。提供免费的入门版本,接入也非常快速简单,十分适用于使用图形验证码网站的升级和迁入。

v5行为验证官网可百度搜索“v5验证”查到,
百度搜“v5验证”
也可通过网址

https://www.veirfy5.com

进入。下一篇将对其功能特点进行介绍。

发布了35 篇原创文章 · 获赞 2 · 访问量 4万+
展开阅读全文

没有更多推荐了,返回首页

©️2019 CSDN 皮肤主题: 大白 设计师: CSDN官方博客

分享到微信朋友圈

×

扫一扫,手机浏览