【掌桥科研-注册安全分析报告-无验证方式导致安全隐患】

news2024/12/24 0:22:20

前言

由于网站注册入口容易被黑客攻击,存在如下安全问题:

1. 暴力破解密码,造成用户信息泄露

2. 短信盗刷的安全问题,影响业务及导致用户投诉

3. 带来经济损失,尤其是后付费客户,风险巨大,造成亏损无底洞

在这里插入图片描述

所以大部分网站及App 都采取图形验证码或滑动验证码等交互解决方案, 但在机器学习能力提高的当下,连百度这样的大厂都遭受攻击导致点名批评, 图形验证及交互验证方式的安全性到底如何? 请看具体分析

一、 掌桥科研- PC注册入口

简介:掌桥科研(zhangqiaokeyan.com)是由六维联合信息科技(北京)有限公司开发的一站式科研服务平台,又称掌桥。掌桥科研致力于在科研活动全流程帮助科研人解决科研痛点,提升科研效率。
掌桥科研向科研人提供中文文献、外文文献、中文专利、外文专利、政府科技报告、OA文献、外军国防科技文献等多种科研资源的推广、发现、揭示、指引和辅助获取服务,以及自动文档翻译、人工翻译、文档格式转换、论文查重、收录引证报告、科技查新等科研工具服务,涵盖了理、工、医、农、社科、军事、法律、经济、哲学等诸多学科和行业的中外文献资源。
掌桥科研专门开发了大规模的文献题录数据库和功能强大的文献搜索引擎,并与各类权威的中外文献数据库建立稳定合作以提供原文辅助获取服务。掌桥科研将持续整合科技信息资源,致力于为广大科研人提供海量中外科技信息资源的一站式推广、发现、揭示、指引与辅助获取服务。

在这里插入图片描述

二、 安全性分析报告:

前端界面分析,掌桥科研在用户注册场景未采取任何验证措施,存在验证的安全隐患,同行一般会在注册下发短信验证码时采用图形验证、行为验证方式。

在这里插入图片描述

三、 测试方法:

1 模拟器交互部分


private final String INDEX_URL = "https://www.zhangqiaokeyan.com/";

	@Override
	public RetEntity send(WebDriver driver, String areaCode, String phone) {
		try {
			RetEntity retEntity = new RetEntity();
			driver.get(INDEX_URL);

			WebElement loginElement = driver.findElement(By.xpath("//div[@class='login_reg']"));
			loginElement.click();

			// 手机验证码登录
			Thread.sleep(500);
			WebElement tabElement = driver.findElement(By.xpath("//div[@class='login-tab']/ul/li[contains(text(),'手机验证码登录')]"));
			tabElement.click();

			// 输入手机号
			WebElement phoneElemet = driver.findElement(By.id("mobile"));
			phoneElemet.sendKeys(phone);

			// 点击发送验证码按钮
			WebElement sendElemet = driver.findElement(By.id("click-code"));
			if (sendElemet != null)
				sendElemet.click();

			Thread.sleep(1000);
			String gtInfo = sendElemet.getText();
			retEntity.setMsg(gtInfo);
			if (gtInfo != null && gtInfo.contains("s后重新获取")) {
				retEntity.setRet(0);
			} else {
				System.out.println("gtInfo=" + gtInfo);
			}
			return retEntity;
		} catch (Exception e) {
			System.out.println("phone=" + phone + ",e=" + e.toString());
			for (StackTraceElement ele : e.getStackTrace()) {
				System.out.println(ele.toString());
			}
			return null;
		} finally {
			driver.manage().deleteAllCookies();
		}
	}



2 测试结果输出:

在这里插入图片描述

  由于该网站无验证措施,本次测评非常简单

四丶结语

掌桥科研(zhangqiaokeyan.com)是由六维联合信息科技(北京)有限公司开发的一站式科研服务平台,又称掌桥。掌桥科研致力于在科研活动全流程帮助科研人解决科研痛点,提升科研效率。
掌桥科研向科研人提供中文文献、外文文献、中文专利、外文专利、政府科技报告、OA文献、外军国防科技文献等多种科研资源的推广、发现、揭示、指引和辅助获取服务,以及自动文档翻译、人工翻译、文档格式转换、论文查重、收录引证报告、科技查新等科研工具服务,涵盖了理、工、医、农、社科、军事、法律、经济、哲学等诸多学科和行业的中外文献资源。
掌桥科研专门开发了大规模的文献题录数据库和功能强大的文献搜索引擎,并与各类权威的中外文献数据库建立稳定合作以提供原文辅助获取服务。 作为掌握大数据信息的资源平台,拥有雄厚的技术实力,但好像对短信被盗刷的安全方面不够重视 ,测试结果就是随便你怎么攻击都可以,这也有点太开放了, 短信验证码难道不要钱吗 ? 这对黑客来说肯定是好消息, 弄个简单的脚本就可以搞定

很多人在短信服务刚开始建设的阶段,可能不会在安全方面考虑太多,理由有很多。
比如:“ 需求这么赶,当然是先实现功能啊 ”,“ 业务量很小啦,系统就这么点人用,不怕的 ” , “ 我们怎么会被盯上呢,不可能的 ”等等。

有一些理由虽然有道理,但是该来的总是会来的。前期欠下来的债,总是要还的。越早还,问题就越小,损失就越低。

所以大家在安全方面还是要重视。(血淋淋的栗子!)#安全短信#

戳这里→康康你手机号在过多少网站注册过!!!

谷歌图形验证码在AI 面前已经形同虚设,所以谷歌宣布退出验证码服务, 那么当所有的图形验证码都被破解时,大家又该如何做好防御呢?

>>相关阅读
《腾讯防水墙滑动拼图验证码》
《百度旋转图片验证码》
《网易易盾滑动拼图验证码》
《顶象区域面积点选验证码》
《顶象滑动拼图验证码》
《极验滑动拼图验证码》
《使用深度学习来破解 captcha 验证码》
《验证码终结者-基于CNN+BLSTM+CTC的训练部署套件》

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2167730.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

企业源代码一定要加密!10款超级好用的源代码加密软件推荐

在如今竞争激烈的商业环境中,源代码是企业的核心资产之一。对于软件开发公司、技术公司以及以技术驱动的企业来说,保护源代码不被盗窃、泄露或非法篡改至关重要。如果源代码泄露,不仅会对企业的市场竞争力造成巨大打击,还可能导致…

pycirclize python包画circos环形图

pycirclize python包画circos环形图 很多小伙伴都有画环形图的需求,网上也有很多画环形图的教程,讲解circos软件和circlize R包的比较多,本文介绍一款python包:pyCirclize。适合喜欢python且希望更灵活作图的小伙伴。 pyCirclize包实际上也…

衡石分析平台系统管理手册-功能配置之SMTP 服务

SMTP 服务​ SMTP(Simple Mail Transfer Protocol)即简单邮件传输协议。它是一组用于从源地址到目的地址传输邮件的规范,通过它来控制邮件的中转方式。 HENGSHI 用户需要开启 SMTP 服务并进行配置,才能收到系统发送邮件。 SMTP 服务需要用户配置服务器…

基于STM32的智能温室监控系统

目录 引言项目背景环境准备 硬件准备软件安装与配置系统设计 系统架构关键技术代码示例 传感器数据采集自动控制风扇与洒水系统实时数据展示与报警应用场景结论 1. 引言 智能温室监控系统是农业现代化的重要组成部分,能够通过传感器实时监测温度、湿度和光照等环…

20240926给荣品RD-RK3588-AHD开发板刷Rockchip原厂的Buildroot的EVB4方案【通过HDMI0显示】

20240926给荣品RD-RK3588-AHD开发板刷Rockchip原厂的Buildroot的EVB4方案【通过HDMI0显示】 2024/9/26 15:15 1、由于荣品RD-RK3588-AHD开发板没有HDMI1部分,因此拿掉了HDMI1的配置部分: Z:\rk3588s_20230620\kernel\arch\arm64\boot\dts\rockchip\rk358…

嵌入式学习——进程间通信方式(1)——有名管道和匿名管道

一、基本概念 我们要知道管道为什么叫做管道,管道就好比我们生活中的水管,水总是从一端流向另一端,你总不能从水龙头往里灌水吧,它只能出水。管道也是类似的,数据从管子的一端传入,在另一端进行数据的读取…

电脑使用技巧:C盘大文件如何清理?

随着时间的推移,电脑C盘可能会因为各种大文件的堆积而变得容量不足,影响系统运行速度。在这篇文章中,小编将分享几种C盘大文件清理的小妙招,让你的电脑流畅运行。 方法一:使用系统自带的磁盘清理 Windows系统提供了内…

画册翻页电子版是如何制作的?

​随着科技的不断发展,电子出版逐渐成为主流,画册翻页电子版也应运而生。它不仅保留了传统画册的精美风格,还融入了现代电子产品的便捷性。那么,画册翻页电子版究竟是如何制作的呢? 1.要制作电子杂志,首先需要选择一款…

峟思传感器:基坑监测的主要内容与技术

在现代城市建设和土木工程中,基坑监测扮演着至关重要的角色。基坑监测是指在基坑开挖和施工过程中,对基坑及其周边环境进行实时观测和分析的技术手段,以确保工程的安全性和有效性。本文将详细介绍基坑监测的主要内容及其所采用的关键技术。 点…

前端js下载文件时后缀名多出一个下划线(已解决)

问题:前端js下载文件时后缀名多出一个下划线 在打印的时候发现文件名啥啥啥的都没问题,创建的元素似乎也没问题。 但是呢结果?多了个下划线。 原因 细心的你可能发现了a标签的download的内容是双层双引号。具体原因可能是谷歌浏览器做了安全…

解读 Story Protocol:IP 与区块链的潜力与障碍

撰文:100y.eth 编译:J1N,Techub News 8 月,据 The Block 报道,专注于知识产权(IP)的区块链 Story 宣布完成 a16z Crypto 领投 8000 万美元 B 轮融资,参投方包括 Polychain Capital&…

VBA技术资料MF204:右键多按钮弹出菜单中使用图标

我给VBA的定义:VBA是个人小型自动化处理的有效工具。利用好了,可以大大提高自己的工作效率,而且可以提高数据的准确度。“VBA语言専攻”提供的教程一共九套,分为初级、中级、高级三大部分,教程是对VBA的系统讲解&#…

MySQL常见面试总结

MySQL基础 什么是关系型数据库? 顾名思义,关系型数据库(RDB,Relational Database)就是一种建立在关系模型的基础上的数据库。关系模型表明了数据库中所存储的数据之间的联系(一对一、一对多、多对多&…

【大数据】元数据是解锁数据价值的关键

在信息爆炸的数字时代,数据无处不在,它以多种形式存在,从文本文档到数字图片,从交易记录到科学测量。然而,如果没有合适的数据管理和理解,这些数据的价值就会大打折扣。如何提高数据价值呢?这就…

IDA Pro基本使用

IDA Pro基本使用 1.DllMain的地址是什么? 打开默认在的位置1000D02E就是DllMain地址 按空格键可以看到图形化界面选择options、general勾选对应的选项在图像化也能看到 2.使用Imports 窗口并浏览到 gethostbyname,导入函数定位到什么地址? 这里可以打开Impo…

2024 Python3.10 系统入门+进阶(十六):正则表达式

目录 一、认识正则表达式二、正则表达式基本语法2.1 行界定符2.2 单词定界符2.3 字符类2.4 选择符2.5 范围符2.6 排除符2.7 限定符2.8 任意字符2.9 转义字符2.10 反斜杠2.11 小括号2.11.1 定义独立单元2.11.2 分组 2.12 反向引用2.13 特殊构造2.14 匹配模式 三、re模块3.1 comp…

文件防泄密措施有哪些?教你10个权威方法,有效防止文件泄密!【聚焦职场安全】

【聚焦职场安全】数字化办公,文件防泄密已成为企业不可忽视的重要环节。 文件泄密不仅会导致企业核心竞争力的丧失,还可能引发法律纠纷和经济损失。 接下来,我将为您揭晓10个权威且实用的文件防泄密措施,这些方法简单易行&#…

斯坦福STANFORD RESEARCH SR860 DSP 锁相放大器SR830

斯坦福研究 SR860 具有无与伦比的模拟性能、先进的新型数字信号处理功能、完全现代、直观的用户界面以及广泛的计算机连接选项,是任何同步检测应用的理想选择。从消除开关模式噪声的重型环形变压器到将锁定功能带入手机的 iOS 连接,再到可消除更多噪声并…

DrawDB本地Windows环境部署结合内网穿透远程设计数据库

文章目录 前言1. Windows本地部署DrawDB2. 安装Cpolar内网穿透3. 实现公网访问DrawDB4. 固定DrawDB公网地址 前言 我们在开发项目时很多时候都会使用到数据库,所以选择一个好用的数据库设计工具会让工作效率翻倍。在当今数字化时代,数据库管理是许多企业…

超全攻略,教你验证第三方电子合同平台的真伪

不了解电子合同不用担心,通过本篇文章,您可以深入了解电子合同以及第三方平台有效性。 如何辨别第三方电子合同平台的真伪,可以从合法性、技术安全、平台、功能、服务等几个方面入手: 1.合法性方面: 资质认证&#…