目录
v5行为验证使用介绍(一)- 试探攻击的威胁
v5行为验证使用介绍(二)- 应用管理
v5行为验证使用介绍(三)- 程序接入流程
v5行为验证使用介绍(四)- Verify5Client.java
我们在做产品开发或者项目开发的时候,往往主要是关注功能和性能的实现,这在项目上线的前期,往往是没有问题的。但是随着项目的深入运营,各种功能性之外的风险和问题就暴露了出来,数据安全风险就是其中之一。一个未加防护的应用,往往包括以下安全风险:
- 网络入侵
- 操作系统漏洞
- 编程语言漏洞
- 框架、中间件漏洞
- SQL注入、XSS注入
- 管理制度漏洞
- 等等
除此之外,还有一类常见的攻击,可成为试探攻击,表现在各个场景可以叫做不同的名称,例如:
| 方式 | 造成损失 |
|---|---|
| 大量的爬虫、机器人程序正在24小时抓取数据 | 数据泄露 |
| 恶意用户利用已登陆的Session进行全站数据抓取 | 数据泄露 |
| 针对密码登陆进行字典破解或者暴力破解 | 用户隐私泄露、关键数据泄露 |
| 针对短信登陆场景高频触发短信发送 | 封短信通道、造成经济损失 |
| 机器人暴力注册 | 产生大量垃圾账号,清理账号成本高,可能造成用户流失 |
以下是笔者从网站访问历史里抓取的常见爬虫UA:
这些都是极易被识别的,还有一些浏览器模仿程序,可以伪装成真实的浏览器,就难以被判定了。例如:
- Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/76.0.3809.100 Safari/537.36
- Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:68.0) Gecko/20100101 Firefox/68.0
很长一段时间以来,针对试探攻击我们都是采用图形验证码的方式来预防,
可是技术进化到今天,深度学习技术已经能够很好地对图形进行视觉识别了,一方面,借助各大“打码平台”的众包数据支撑,常见的验证码识别率可高达95%以上,另一方面,简单的图形验证码机制是可以反复无成本重试的,所以到今天,且不说用户体验如何,图形验证码在安全防护方面可以说是“形同虚设”。下面是某个打码平台自动识别的结果:
有趣的是,这个打码平台自己也使用图形验证码进行防护,且其API也可对其图形验证码进行精准识别。
图形验证码还有一些变种,例如算式、中文等,但在AI时代都起不到很好的防护效果,破解的成本不会有太大的提高。
因此,笔者总结出如下结论:
- 大数据“黑产”远比想象的厉害,网站没有受到攻击不是技术问题,而是没有利益驱动。
- 对于大多数网站来说,数据被窃取是无法主动察觉的。
- 在“AI”/“众包”时代,“白盒模式”验证已无法保护网站安全,“黑盒模式+大数据智能分析”是未来主流验证方式。
现在市场上已经有了一类“行为验证”的产品,可以有效的试探攻击进行防护,常见的包括极验、顶象、数美等,腾讯云也有相应的组件,但都是偏向于行业头部企业或大型企业,中小网站接入往往需要付出比较高的代价。
本系列文章介绍一个新兴的行为验证码组件-v5验证,主要提供对滑块拼图的行为数据验证服务,可以解决中小网站和系统在登陆、注册、关键数据保护等主要的应用场景的安全防护。提供免费的入门版本,接入也非常快速简单,十分适用于使用图形验证码网站的升级和迁入。
v5行为验证官网可百度搜索“v5验证”查到,
也可通过网址
进入。下一篇将对其功能特点进行介绍。
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
