【易车-注册安全分析报告-无验证方式导致安全隐患】

置顶 于 2024-09-04 22:58:01 发布
阅读量321 收藏 4
点赞数 14
分类专栏: 验证码接口安全评测系列 文章标签: 安全 汽车 人工智能 chatgpt YOLO
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44549063/article/details/141906403
版权

前言

由于网站注册入口容易被黑客攻击,存在如下安全问题:

1. 暴力破解密码,造成用户信息泄露

2. 短信盗刷的安全问题,影响业务及导致用户投诉

3. 带来经济损失,尤其是后付费客户,风险巨大,造成亏损无底洞

在这里插入图片描述

所以大部分网站及App 都采取图形验证码或滑动验证码等交互解决方案, 但在机器学习能力提高的当下,连百度这样的大厂都遭受攻击导致点名批评, 图形验证及交互验证方式的安全性到底如何? 请看具体分析

一、 易车- PC注册入口

简介:易车公司成立于2000年,于2010年在美国纽交所挂牌上市,并于2020年11月完成私有化,成为腾讯大家庭一员。作为中国头部的汽车互联网企业,易车公司为中国汽车用户提供专业、丰富的互联网资讯和导购服务,并为汽车厂商和汽车经销商提供卓有成效的互联网营销解决方案。

在这里插入图片描述

二、 安全性分析报告:

前端界面分析,北森在用户注册场景未采取任何验证措施,存在验证的安全隐患,同行一般会在注册下发短信验证码时采用图形验证、行为验证方式。

在这里插入图片描述

三、 测试方法:

1 模拟器交互部分


private final String INDEX_URL = "https://i.yiche.com/authenservice/login.aspx";

	@Override
	public RetEntity send(WebDriver driver, String areaCode, String phone) {
		try {
			RetEntity retEntity = new RetEntity();
			driver.get(INDEX_URL);

			// 输入手机号
			WebElement phoneElemet = driver.findElement(By.id("mobile"));
			phoneElemet.sendKeys(phone);

			driver.findElement(By.id("checkbox")).click();

			// 点击发送验证码按钮
			WebElement sendElemet = driver.findElement(By.id("send-code-button"));
			sendElemet.click();

			Thread.sleep(1000);
			WebElement gtElement = ChromeDriverManager.waitElement(driver, By.id("code-seconds-tips"), 10);
			String gtInfo = (gtElement != null) ? gtElement.getText() : null;
			retEntity.setMsg(gtInfo);
			if (gtInfo != null && gtInfo.contains("后重新发送")) {
				retEntity.setRet(0);
			} else {
				System.out.println("gtInfo=" + gtInfo);
			}
			return retEntity;
		} catch (Exception e) {
			System.out.println("phone=" + phone + ",e=" + e.toString());
			for (StackTraceElement ele : e.getStackTrace()) {
				System.out.println(ele.toString());
			}
			return null;
		} finally {
			driver.manage().deleteAllCookies();
		}
	}

2 测试结果输出:

在这里插入图片描述

  由于该网站无验证措施,本次测评非常简单

二丶结语

易车公司成立于2000年,于2010年在美国纽交所挂牌上市,并于2020年11月完成私有化,成为腾讯大家庭一员。作为中国头部的汽车互联网企业,从平台的实力来看应该是非常雄厚,但好像对短信被盗刷的安全方面不够重视 ,测试结果就是随便你怎么攻击都可以,这也有点太开放了, 短信验证码难道不要钱吗 ? 这对黑客来说肯定是好消息, 弄个简单的脚本就可以搞定

很多人在短信服务刚开始建设的阶段,可能不会在安全方面考虑太多,理由有很多。
比如:“ 需求这么赶,当然是先实现功能啊 ”,“ 业务量很小啦,系统就这么点人用,不怕的 ” , “ 我们怎么会被盯上呢,不可能的 ”等等。

有一些理由虽然有道理,但是该来的总是会来的。前期欠下来的债,总是要还的。越早还,问题就越小,损失就越低。

所以大家在安全方面还是要重视。(血淋淋的栗子!)#安全短信#

戳这里→康康你手机号在过多少网站注册过!!!

谷歌图形验证码在AI 面前已经形同虚设,所以谷歌宣布退出验证码服务, 那么当所有的图形验证码都被破解时,大家又该如何做好防御呢?

>>相关阅读
《腾讯防水墙滑动拼图验证码》
《百度旋转图片验证码》
《网易易盾滑动拼图验证码》
《顶象区域面积点选验证码》
《顶象滑动拼图验证码》
《极验滑动拼图验证码》
《使用深度学习来破解 captcha 验证码》
《验证码终结者-基于CNN+BLSTM+CTC的训练部署套件》

newxtc
关注
  • 14
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
博客
【保利威-注册安全分析报告】
09-03 669
易方信息科技股份有限公司(保利威),企业级视频SaaS领导品牌,致力于通过可集成、可定制的视频直播技术,为企业搭建自主私域直播系统,并提供直播全流程运营与现场执行服务。公司采用SaaS、aPaaS模式帮助企业快速部署专属直播系统,拥有雄厚的技术实力,但采用的是通俗的滑动验证产品,并且不能正常加载导致安全隐患。
博客
【找钢集团-注册安全分析报告】
09-03 475
找钢产业互联集团(ZG Group,简称:找钢集团),成立于2012年初,是国内领先的产业数字化平台。集团以规模最大的工业品类——钢材为切入点,打造围绕工业和建筑业等产业用户的科技服务体系, 从测试来看,该网站基本采用用户比较友好的滑动验证方式, 该产品稳定并且市场占有率很高, 在一定程度上提高了用户体验, 但安全性在机器学习的今天, 已经无法应对攻击了,并且正是由于该产品通俗, 所以在网上破解的文章和教学视频也是大量存在,并且经过验证滑动产品很容易被破解
博客
【一嗨租车-注册安全分析报告-滑动验证加载不正常导致安全隐患】
09-02 949
一嗨租车创立于2006年1月,主要为个人和政企用户提供综合汽车出行服务,一嗨租车于北京时间2014年11月18日晚9点45分,正式登陆美国纽交所挂牌交易, 作为美股上市公司,拥有雄厚的技术实力,但采用的是通俗的滑动验证产品,并且不能正常加载导致安全隐患。即使问题解决,其安全性在机器学习的今天, 已经无法应对攻击了,并且正是由于该产品通俗, 所以在网上破解的文章和教学视频也是大量存在,并且经过验证滑动产品很容易被破解, 所以除了滑动验证方式, 花样百出的产品层出不穷,但本质就是牺牲用户体验来提高安全。
博客
【盖世汽车-注册安全分析报告】
09-02 1045
盖世汽车(上海盖世网络技术有限公司)是汽车产业专业的信息服务平台,为企业及行业人士提供一站式服务。
博客
【live800-注册安全分析报告】
09-01 830
由于网站注册入口容易被黑客攻击,存在如下安全问题:所以大部分网站及App 都采取图形验证码或滑动验证码等交互解决方案, 但在机器学习能力提高的当下,连百度这样的大厂都遭受攻击导致点名批评, 图形验证及交互验证方式的安全性到底如何? 请看具体分析简介:Live800 是成都天润金铠甲科技有限公司独立研发的企业级智能营销客服平台,以“人工客服系统+智能机器人系统”两大核心系统为基础,为企业提供整体在线营销与服务解决方案。从营业至今,Live800已服务近千家付费高端和世界500强企业,为其中数百家知名企业实
博客
【国铁采购平台-注册安全分析报告-无验证方式导致安全隐患】
08-31 940
国铁采购平台电子招标采购系统”是中国国家铁路集团有限公司及所属企业指定的电子招标采购系统,运用大数据、云计算、互联网和人工智能技术,提高采购电子化水平,加强采购大数据分析,实现智慧采购和智能管理。,从平台的实力来看应该是非常雄厚,但好像对短信被盗刷的安全方面不够重视 ,测试结果就是随便你怎么攻击都可以,这也有点太开放了, 短信验证码难道不要钱吗?这对黑客来说肯定是好消息, 弄个简单的脚本就可以搞定很多人在短信服务刚开始建设的阶段,可能不会在安全方面考虑太多,理由有很多。比如:“
博客
【奔驰中国-注册安全分析报告】
08-30 6105
作为汽车发明者,梅赛德斯-奔驰拥有138年的辉煌历史,如今三叉星徽广布中国大地。奔驰中国作为知名品牌的字公司,拥有很强的实力, 从测试来看,该网站基本采用用户比较友好的滑动验证方式, 该产品稳定并且市场占有率很高, 在一定程度上提高了用户体验, 但安全性在机器学习的今天, 已经无法应对攻击了,并且正是由于该产品通俗, 所以在网上破解的文章和教学视频也是大量存在,并且经过验证滑动产品很容易被破解, 所以除了滑动验证方式, 花样百出的产品层出不穷,但本质就是牺牲用户体验来提高安全。
博客
【中介网-注册/登录安全分析报告-无验证方式导致安全隐患】
08-30 4709
随着互联网资产的交易日益增多,很多时候需要一个可靠的第三方平台来进行中介交易,以保障交易的顺利进行,在这种强需求的大环境下,南京众杰网络科技有限公司成立了力求让中介交易更安全,更简单的中介网项目,从平台的实力来看应该是非常雄厚,但好像对短信被盗刷的安全方面不够重视 ,测试结果就是随便你怎么攻击都可以,这也有点太开放了, 短信验证码难道不要钱吗?这对黑客来说肯定是好消息, 弄个简单的脚本就可以搞定很多人在短信服务刚开始建设的阶段,可能不会在安全方面考虑太多,理由有很多。比如:“
博客
【河北航空-注册安全分析报告-无验证方式导致安全隐患】
08-29 1861
河北航空有限公司(以下简称“河北航空”)成立于2010年6月,是经中国民航局和河北省政府批准成立的现代化航空公司,可能是这家航司的技术实力一般,好像对短信被盗刷的安全方面不够重视 ,测试结果就是随便你怎么攻击都可以,这也有点太开放了, 短信验证码难道不要钱吗?这对黑客来说肯定是好消息, 弄个简单的脚本就可以搞定很多人在短信服务刚开始建设的阶段,可能不会在安全方面考虑太多,理由有很多。比如:“需求这么赶,当然是先实现功能啊”,“业务量很小啦,系统就这么点人用,不怕的” , “
博客
selenium消除启动特征避免被反爬-使用已经打开的浏览器
08-28 1884
selenium消除启动特征避免被反爬启动特征很多,如何消除selenium启动特征呢?这个也是因站而异,如果规避常规的检测,做到以下2点就可以。
博客
Selenium的四种部署方式详解
08-28 1904
关于selenium 的部署,我在网上找了很多,基本上都没有提到或是说的比较清晰的。当时我一直有个困惑:测试的脚本代码,是放在跟浏览器同一台机器上呢,还是放在Application Server上?
博客
【中国计算机学会-注册安全分析报告-缺少轨迹的滑动条】
08-28 1712
中国计算机学会(CCF), CCF是中国计算机及相关领域的学术团体,宗旨是为本领域专业人士的学术和职业发展提供服务;推动学术进步和技术成果的应用,是有一定科技实力的互联网学会组织, 采用的是自己研研发的滑动条, 有胜过没,应该是参考了滑动条的代表是阿里, 可惜只学到表面,连滑动轨迹的数据都没采集,明明白白的样子工程, 用户体验一般,容易被破解, 一旦被国际黑客发起攻击,将会对老百姓形成骚扰,影响凤凰集团的品牌声誉。很多人在短信服务刚开始建设的阶段,可能不会在安全方面考虑太多,理由有很多。比如:“
博客
【卡西欧-注册安全分析报告】
08-27 1829
卡西欧官方商城(www.casiostore.com.cn)由卡西欧公司直接管理,并指定由北京兴长信达科技发展有限公司作为服务商提供服务、作为网站的运营者运营网站, 从测试来看,该网站基本采用用户比较友好的滑动验证方式, 该产品稳定并且市场占有率很高, 在一定程度上提高了用户体验, 但安全性在机器学习的今天, 已经无法应对攻击了,并且正是由于该产品通俗, 所以在网上破解的文章和教学视频也是大量存在,并且经过验证滑动产品很容易被破解
博客
【北森-注册安全分析报告-无验证方式导致安全隐患】
08-27 1936
北森品牌成立于2002年,是中国领先的人力资源科技公司 作为专业的人力资源综合解决方案提供商,从平台的实力来看应该是非常雄厚,但好像对短信被盗刷的安全方面不够重视 ,测试结果就是随便你怎么攻击都可以,这也有点太开放了, 短信验证码难道不要钱吗?这对黑客来说肯定是好消息, 弄个简单的脚本就可以搞定很多人在短信服务刚开始建设的阶段,可能不会在安全方面考虑太多,理由有很多。比如:“需求这么赶,当然是先实现功能啊”,“业务量很小啦,系统就这么点人用,不怕的” , “我们怎么会被盯上呢,不可能的”等等。
博客
【惠农网-注册安全分析报告】
08-26 1791
惠农网创立于 2013 年,以农业互联网信息服务平台为基础,技术实力雄厚,但在验证产品方面,不是自己研发而是采用第三方的阿里的滑动条, 阿里的产品由于过度重视用户体验, 简单的滑动条特别,模拟器只需要单轴的模拟轨道就可以通过, 说明阿里对轨迹的校验比较宽松,之前的分析显示,阿里主要是靠模拟器识别,如果这道关过了,就没有其它的防护措施了。很多人在短信服务刚开始建设的阶段,可能不会在安全方面考虑太多,理由有很多。比如:“需求这么赶,当然是先实现功能啊”,“业务量很小啦,系统就这么点人用,不怕的” , “
博客
【宝马中国-注册/登录安全分析报告】
08-26 2921
宝马中国作为全世界最成功的汽车和摩托车制造商之一的宝马集团旗下公司, 其滑动验证码没有采用市场常用的几家, 有独特的地方, 背景图在被抠出后,并不是采用同行的常用的透明化保留原有图形样式,而是填充白色,所以滑块位置识别需要从背景图中提取, 这样让识别变得更简单,造成这中特点有两方面原因,1 直接填充白色背景的技术比透明度的方式更简单2 从报文看未获取轨迹数据, 显示验证方式中并未验证轨迹,只验证距离是否合适很多人在短信服务刚开始建设的阶段,可能不会在安全方面考虑太多,理由有很多。
博客
【助通信息-注册安全分析报告】
08-24 1792
上海助通信息科技在近10年的历程中,以专业的服务团队、国际化、高标准的工作流程为超过10万余家企事业单位提供提供国内领先的网络接入服务和互联网行业增值服务,技术实力雄厚,但在验证产品方面,不是自己研发而是采用第三方的阿里的滑动条, 阿里的产品由于过度重视用户体验, 简单的滑动条特别,模拟器只需要单轴的模拟轨道就可以通过, 说明阿里对轨迹的校验比较宽松,之前的分析显示,阿里主要是靠模拟器识别,如果这道关过了,就没有其它的防护措施了。
博客
【奇某信-注册/登录安全分析报告】
08-24 1847
奇某信作为安全领域的巨头,创始团队来自奇虎360, 具备不凡的实力, 专注于网络空间安全市场,向政府、企业用户提供新一代企业级网络安全产品和服务,但在验证方面不够重视用户体验, 采用的还是老一代的图形验证码已经落伍了,按传统手法,对图形增加了干扰和扭曲, 导致用户体验很差,但在AI普及的今天,简单的图形验证码被识别变得非常容易导致安全隐患, 一旦被国际黑客发起攻击,将会对老百姓形成骚扰,影响声誉。很多人在短信服务刚开始建设的阶段,可能不会在安全方面考虑太多,理由有很多。比如:“
博客
【FESCO福利专区-注册安全分析报告-无验证方式导致安全隐患】
08-23 1491
作为专业的人力资源综合解决方案提供商,FESCO始终以温暖的服务与先进的技术,为各种组织和企业提供全方位人力资源解决方案,礼品专区为服务的职员提供自助挑选福利的平台,从平台的实力来看应该是非常雄厚,但好像对短信被盗刷的安全方面不够重视 ,测试结果就是随便你怎么攻击都可以,这也有点太开放了, 短信验证码难道不要钱吗?这对黑客来说肯定是好消息, 弄个简单的脚本就可以搞定很多人在短信服务刚开始建设的阶段,可能不会在安全方面考虑太多,理由有很多。比如:“需求这么赶,当然是先实现功能啊”,“
博客
【薪人薪事-注册_登录安全分析报告】
08-23 1976
薪人薪事是一款专业数据化人力资源SaaS产品,以智能数据为基础,致力于帮助企业提升人力资源管理水平。系统秉承“信息提升效率、数据洞见未来”的设计理念,以充分、准确的分权限信息传递为考量,去除传统软件中诸多无效繁杂的流程,以及时、丰富的数据分析为洞察依据,帮企业摆脱只能靠传统经验决策的窘境。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值