业务安全问题
一些生产环境中可能出现的实际问题,我认为这不只是渗透测试工程师需要针对的,也是一些开发人员需要意识到的
账户安全
盗号、撞库等身份盗用问题
“撞库”攻击的形式
尝试登录大量【用户名+密码】组合
利用已泄露的多家网站用户数据库
“盗号”产生的风险
用户隐私受影响
账户资金受影响
企业投诉和赔付率上升
对抗手段
验证码识别云平台
短信验证码云平台
访问速率控制
秒换代理服务器IP
IP限制策略
用户界面
PC登录界面
WAP
APP
联合登录
防护策略
图形验证码
短信验证码
资源滥用
刷单/恶意下单
供应商刷单赚取信用
竞争对手互相下单
报复性下单
控制库存影响正常销售
自动加购物车,自动下单
购物车过期后,重复上一步骤
正常用户不能购买
企业商品无法售出
恶意调用短信发送接口
封装多个网站短信发送接口为一个API
向指定手机发送短信炸弹,强制对方关机
企业遭受客户投诉导致短信通道被迫关停
注册检查薄弱被利用接口
利用简单的注册判断接口,检查全国手机号是否在网站注册
放大这个请求,结果是灾难……为盲目“撞库”提前筛选用户名
恶意注册产生“马甲”用户
抢占正常用户资源
影响企业营销效果
产生虚假数据
隐藏的“炸弹”