前言
由于网站注册入口容易被黑客攻击,存在如下安全问题:
- 暴力破解密码,造成用户信息泄露
- 短信盗刷的安全问题,影响业务及导致用户投诉
- 带来经济损失,尤其是后付费客户,风险巨大,造成亏损无底洞
所以大部分网站及App 都采取图形验证码或滑动验证码等交互解决方案, 但在机器学习能力提高的当下,连百度这样的大厂都遭受攻击导致点名批评, 图形验证及交互验证方式的安全性到底如何? 请看具体分析
一、 漯河市人才交流中心PC 注册入口
简介: 漯河市人才交流中心,是市人力资源和社会保障局直属的副处级事业单位;漯河人才市场,是省人力资源和社会保障厅与漯河市人民政府共同组建的省级区域性人才市场,是全市公共化、社会化、专业化人才服务机构。 漯河市人才交流中心(漯河人才市场)位于沙北黄河路中段。
中心下设综合信息科、市场交流科(人力资源配送中心)、人事代理科、人才培养科,通过实行高效的管理向社会提供人才交流、人事代理、人才招聘、人才配送、人才测评、人才信息交流等多层次、全方位的服务,技术支持:河南讯丰信息技术有限公司。
二、 安全性分析报告:
容联云通讯研发的滑动验证码,存在严重的问题,滑动拼图的设计存在致命缺陷,使设计的功能无效,攻击者无需进行识别图形就可以获得距离。
三、 测试方法:
前端界面分析,这是漯河市人才交流中心自己研发的滑动验证码,网上没有现成的教学视频,但形式都差不多,发现严重问题:
前端将后台直接返回的信息中包含位置信息,用JS 注入方式直接获取位置,再作为参数提交即可
这次还是采用模拟器的方式,简单,只需要注入JS,两步就可以搞定:
- 模拟器交互部分
bash
package com.newxtc.send.selenium;
稍后补充,最近工作比较忙 ! 由于碰到严重设计缺陷,本次测评非常简单
二丶结语
漯河市人才交流中心,作为政府部门下属的重要单位, 在本次测评时,图形验证码在后台直接输出, 这就明白的告诉攻击者,答案已经给你了,不需要进行图形识别
不过,前端的水平的确可以, 在前端完成了超级无法的加干扰线、文字扭曲等展示,可惜最终如皇帝的新装, 等于没有。总之作为实力雄厚的国有大企业,出现这么严重的低级问题! 在业界面前被打脸, 对不起自己政务下属单位的身份 !
很多人在短信服务刚开始建设的阶段,可能不会在安全方面考虑太多,理由有很多。
比如:" 需求这么赶,当然是先实现功能啊 "," 业务量很小啦,系统就这么点人用,不怕的 " , " 我们怎么会被盯上呢,不可能的 "等等。
有一些理由虽然有道理,但是该来的总是会来的。前期欠下来的债,总是要还的。越早还,问题就越小,损失就越低。
所以大家在安全方面还是要重视。(血淋淋的栗子!)#安全短信#
谷歌图形验证码在AI 面前已经形同虚设,所以谷歌宣布退出验证码服务, 那么当所有的图形验证码都被破解时,大家又该如何做好防御呢?
>>相关阅读
《腾讯防水墙滑动拼图验证码》
《百度旋转图片验证码》
《网易易盾滑动拼图验证码》
《顶象区域面积点选验证码》
《顶象滑动拼图验证码》
《极验滑动拼图验证码》
《使用深度学习来破解 captcha 验证码》
《验证码终结者-基于CNN+BLSTM+CTC的训练部署套件》