当前位置: 首页 > news >正文

【猿辅导-注册安全分析报告-无验证方式导致安全隐患】

前言

由于网站注册入口容易被黑客攻击,存在如下安全问题:

1. 暴力破解密码,造成用户信息泄露

2. 短信盗刷的安全问题,影响业务及导致用户投诉

3. 带来经济损失,尤其是后付费客户,风险巨大,造成亏损无底洞

在这里插入图片描述

所以大部分网站及App 都采取图形验证码或滑动验证码等交互解决方案, 但在机器学习能力提高的当下,连百度这样的大厂都遭受攻击导致点名批评, 图形验证及交互验证方式的安全性到底如何? 请看具体分析

一、 猿辅导- PC注册入口

简介:猿辅导是中国领先的K12在线教育平台,其运营主体为北京猿力未来科技有限公司(曾用名北京粉笔未来科技有限公司、北京力教育科技有限公司)。公司成立于2012年,总部位于北京,并在武汉、郑州、西安等13个城市设立分支机构,员工规模超5万人,估值达155亿美元,是全球教育科技领域估值最高的独角兽企业之一。

在这里插入图片描述

在这里插入图片描述

二、 安全性分析报告:

前端界面分析,猿辅导未采取任何验证措施,存在验证的安全隐患,同行一般会在注册下发短信验证码时采用图形验证、行为验证方式。

在这里插入图片描述

三、 测试方法:

1 模拟器交互部分


private final String INDEX_URL = "https://www.yuanfudao.com/";@Overridepublic RetEntity send(WebDriver driver, String areaCode, String phone) {try {RetEntity retEntity = new RetEntity();driver.get(INDEX_URL);Thread.sleep(500);WebElement tabElement = ChromeUtil.waitUntil(driver,  By.xpath("//a[contains(text(),'注册')]"), 10);tabElement.click();WebElement agreeElement = ChromeUtil.waitElement(driver, By.id("J_Confirm"), 1);if (agreeElement != null)agreeElement.click();// 输入手机号Thread.sleep(500);WebElement phoneElement = ChromeUtil.waitElement(driver, By.id("J_Phone"), 20);phoneElement.sendKeys(phone);// 点击发送验证码按钮Thread.sleep(500);WebElement sendElemet = driver.findElement(By.id("J_VerificationBtn"));if (sendElemet != null)sendElemet.click();Thread.sleep(500);WebElement gtElemet = ChromeUtil.waitElement(driver, By.xpath("//button[@id='J_VerificationBtn' and contains(text(),'重新发送')]"), 15);String gtInfo = (gtElemet != null) ? gtElemet.getText() : null;retEntity.setMsg(gtInfo);if (gtInfo != null && gtInfo.contains("重新发送")) {retEntity.setRet(0);} else {System.out.println("gtInfo=" + gtInfo);}return retEntity;} catch (Exception e) {System.out.println("phone=" + phone + ",e=" + e.toString());for (StackTraceElement ele : e.getStackTrace()) {System.out.println(ele.toString());}return null;} finally {driver.manage().deleteAllCookies();}}

2 测试结果输出:

在这里插入图片描述

  由于该网站无验证措施,本次测评非常简单

四丶结语

猿辅导是中国领先的K12在线教育平台,其运营主体为北京猿力未来科技有限公司(曾用名北京粉笔未来科技有限公司、北京力教育科技有限公司)‌。公司成立于2012年,总部位于北京,并在武汉、郑州、西安等13个城市设立分支机构,员工规模超5万人,估值达155亿美元,是全球教育科技领域估值最高的独角兽企业之一‌。 作为K12在线教育巨头 ,拥有雄厚的技术实力,但好像对短信被盗刷的安全方面不够重视 ,只是用JS 脚本对手机号进行加密, 但通过模拟器可以忽略, 测试结果就是随便你怎么攻击都可以,这也有点太开放了, 短信验证码难道不要钱吗 ? 这对黑客来说肯定是好消息, 弄个简单的脚本就可以搞定

很多人在短信服务刚开始建设的阶段,可能不会在安全方面考虑太多,理由有很多。
比如:“ 需求这么赶,当然是先实现功能啊 ”,“ 业务量很小啦,系统就这么点人用,不怕的 ” , “ 我们怎么会被盯上呢,不可能的 ”等等。

有一些理由虽然有道理,但是该来的总是会来的。前期欠下来的债,总是要还的。越早还,问题就越小,损失就越低。

所以大家在安全方面还是要重视。(血淋淋的栗子!)#安全短信#

戳这里→康康你手机号在过多少网站注册过!!!

谷歌图形验证码在AI 面前已经形同虚设,所以谷歌宣布退出验证码服务, 那么当所有的图形验证码都被破解时,大家又该如何做好防御呢?

>>相关阅读
《腾讯防水墙滑动拼图验证码》
《百度旋转图片验证码》
《网易易盾滑动拼图验证码》
《顶象区域面积点选验证码》
《顶象滑动拼图验证码》
《极验滑动拼图验证码》
《使用深度学习来破解 captcha 验证码》
《验证码终结者-基于CNN+BLSTM+CTC的训练部署套件》

http://www.dtcms.com/a/508554.html

相关文章:

  • 基于YOLOv8与SCConv的轻量化目标检测模型-协同优化空间与通道特征重构
  • 卫计网站建设工作计划怎么做网页商城
  • 攻略做的比较好的网站邯郸电商设计
  • 青海某公路水渠自动化监测服务项目
  • 大厂级企业后端:配置变更与缓存失效的自动化处理方案
  • 打破协议壁垒:耐达讯自动化Modbus转Profinet网关实现光伏逆变器全数据采集
  • 深圳创新网站建设适合穷人的18个创业项目投资小
  • Docker部署RocketMQ时Broker IP地址问题及解决方案
  • 生产环境定时器陷阱:CLOCK_REALTIME与CLOCK_MONOTONIC的生死抉择
  • 建设电子商务网站流程网站改版汇报
  • 长清网站建设费用长椿街网站建设
  • 算法学习——技巧小结7(回溯:排列、组合、子集)
  • Qt Designer 中实现布局比例的方法和简单实例
  • 黄埔网站建设(信科网络)找工程项目上哪个平台好呢
  • 想要提高网站排名应该怎么做直播系统开发
  • Doris专题22- 数据更新-概述
  • 立创EDA专业版使用技巧——按TAB暂停修改
  • 伊犁网站建设公司网页设计与制作实训步骤
  • 深圳网站建设外贸公司软件公司简介内容怎么写
  • 亚太稀土产链
  • 【源码+文档+调试讲解】基于SpringBoot + Vue的知识产权管理系统 041
  • 建设银行信用卡管理中心网站首页网站不换域名换空间
  • 小型企业做网站的价格图片主题wordpress
  • 【C/C++】进程
  • 如何让我们的网站新闻被百度新闻收录网站现在用h5做的吗
  • composer安装 laravel 指定版本
  • 手机购物网站建设网站后期维护包括
  • 服装 多语言 网站源码兰州网站建设和推广
  • ipad可以做网站吗忻州市住房城乡建设局网站
  • 中医养生篇