何為掃號(黑產術語),通俗講就是拿別人網站的數據庫,嘗試當前想要破解用戶賬戶的網站。
自從csdn的明文600萬,到貓撲,天涯,多玩,7k7k等陸續爆出密碼,掃號大軍慢慢從地下逐步顯現出來。已然成為當前賬戶安全的第一大殺手。沒錯,是第一。
誠然支付寶數據庫再嚴密,也無法抵擋賬戶被掃的命運。
WooYun: 支付寶某接口存在安全隱患可被利用撞庫(有證明)!
誠然京東沒有顯示被脫褲,也無奈放出掃號賬號密碼對其的一番炒作。
那么對于用戶和開發者,對掃號有好的辦法嗎?
對于用戶而言,最好每個網站密碼不同,當然這個需要極高的安全意識,和良好的用戶習慣。
比如京東賬號在原有密碼前可以加jd,或者在后面加。支付寶可以加zfb等方式。
對于開發者而言,又有什么好辦法呢? 首先要開發者要意識到,道高一尺,魔高一丈。掃號問題是2方的不斷比拼,下面從基本的幾個地方對于開發者進行一個普及。
1 完全無驗證碼,且ip訪問無限制。
2 密碼輸入錯誤幾次出現驗證碼,但是對于不斷更換賬號登陸即不會出現驗證碼
3 頁面不刷新驗證碼無限次使用
4 判斷用戶cookies某值是否訪問過,只要請求不帶cookies就能繞過
5 主站有驗證碼,但是wap,移動客戶端都沒有,直接通過攔截請求可繞過
6 https對防掃號基本無用,只是傳輸加密
以上幾點只是拋磚引玉,邏輯漏洞開發人員盡量避免。掃號無非就是通過如下幾點來達到驗證賬戶的目的。
1 無驗證碼和訪問限制直接掃號
2 通過邏輯漏洞繞過已有驗證碼策略掃號
3 控制時間頻度掃號
4 不斷更換ip進行掃號
5 識別驗證碼進行掃號
開發者在防御上也可以基于上面幾點。
下面介紹某大型電商網站的一個例子
希望能對用戶和開發者警示。(電商賬戶被盜事件相信都已進入大伙視線)
某大型電商網站某接口沒有做限制,無驗證碼(當然單個賬號錯誤幾次后有)
某工具參數化后發現不少賬號密碼已經成功
登陸嘗試可以登陸
希望不管還是用戶,開發都能夠看完此篇后,對于賬戶安全有一定重視,沒有2方的共同努力,安全都是空談,就好比用戶密碼都用排名前10的如123456,520520。安全的建設也需要用戶的共同進步。