关于账号安全的一些思考

news2024/11/16 18:09:21

0x01-提升账号安全的目的

注册账号是大多数作弊场景的第一步,例如交易场景的生单、营销场景的秒杀活动等都需要账号的参与。其次账号相对于设备、支付卡等能够给唯一标识用户的资源中具备更好的主动权,因此提升账号安全能力是有必要的。

0x02-问题分析

1、攻击思路

想要弄清楚如何提升账号成本,就需要知道创建、运营账号需要付出什么成本。说得通俗一点就是以业务蓝军的角度进行批量注册、登录。(以淘宝页面为案例,不代表本人对淘宝网进行过攻击

image-20230410011002855

1.1、页面关键点拆解

若针对该功能进行逆向需要做什么准备?

(1)资源类准备包括手机号验证码识别(图像、行为或短信验证码)、IP等

(2)协议类准备包括业务协议、安全协议。

注:此处不考虑模拟点击类攻击方式。

img

以上拆解具体要解决作弊的什么问题呢?

(1)手机号:解决注册多个账户的问题;

(2)验证码:解决被加强验证的问题;

(3)代理IP:解决IP被唯一标识的问题;

(4)业务协议分析:解决模拟业务请求逻辑与参数的问题;

(5)安全协议分析:解决设备唯一标识、风控参数、行为模拟的问题。

1.2、关于提升账号成本

根据以上的关键点拆解,解决思路是:

(1)提升资源成本;

(2)提升技术成本。

2、攻击行为

注册攻击包括机器注册、批量注册以及小号注册,登录攻击包括机器登录、批量登录、恶意撞库以及账号盗用,短信攻击包括短信轰炸。

image-20230110194601977

3、黑产资源

关于黑产资源,我把账号获利产业链分为上、中、下游三个环节。

其中上游(事前)是攻击前所需要准备的资源,中游(事中)是攻击过程中遇到的风控反制所需要准备的资源,下游(事后)为黑产攻击的目标场景。

image-20230409221736380

其中具备检测的维度如下:

维度1:资源

(1)IP资源

(2)手机号资源

(3)验证码资源

维度2:作弊工具

(1)改机工具

(2)群控软件

(3)自动化工具

接下来我们会根据这四个维度进行攻击原理的分析以及其对应防御思路的梳理。

0x03-矛与盾

资源维度

1、IP资源

1.1、IP资源介绍

image-20230409225113721

(1)IP类型

image-20221102235802641

(2)位置信息

image-20221102235817442

(3)风险类型

image-20221102235907400

1.2、攻击方式

秒拨的底层思路就是利用国内家用宽带拨号上网(PPPoE)的原理,每一次断线重连就会获取一个新的IP。黑产掌握大量宽带线路资源,利用这些资源构建一个动态IP池,并利用ROS(软路由)对虚拟主机以及宽带资源做统一调配和管理,再利用虚拟化和云计算的技术整体打包成了云服务。这样就能够生产出大量的真实ip。

(1)IP池实现逻辑

image-20221102233442903

(2)IP池页面展示

image-20221102233503576

1.3、防御思路

(1)位置校验

校验IP位置与GPS位置是否一致。

image-20221102235907400

(2)云主机检测

爬虫、机器作弊、代理等大多数情况来自于数据中心(机房)。如阿里云、腾讯云、美团云、京东云、微软云、亚马逊云等。(需要注意的是部分办公网络也会使用云ip所以在策略应用时应该结合其他维度一起判断

image-20221102235923845

(3)秒拨检测

a)秒拨已经成为黑产IP层面的核心技术,也是当前业务安全的痛点之一;

b)秒拨IP数量巨大且与正常用户共用IP池。

检测技术:通过IP扫描端口、协议以及报文特征等方式,识别当前主机是否是正常用户使用的主机。

image-20221103000005124

(4)代理检测

a)协议识别:

(1)REMOTE_ADDR:web服务器就会把 REMOTE_ADDR 设为客户端的 IP 地址;

(2)X-Forwarded-For:X-Forwarded-For 是一个 HTTP 扩展头部,用来表示 HTTP 请求端真实 IP。

(3)针对于高匿IP这种方式就无法应对。

b)端识别:

(1)System property中的http.proxyHost、http.proxyPort;

(2)虚拟网卡。

2、手机号资源

2.1、手机号资源介绍

image-20221102235454759

(1)海外卡

image-20221102235518804

(2)虚拟卡

image-20221102235532646

(3)风险卡

image-20230409232406306

2.2、攻击方式

手机号购买的渠道大致有三类,第一类是购买现成历史账号,第二类是通过淘宝等第三方卖家,第三类是接码平台。

(1)淘宝三方卖家

image-20230409233811436

(2)接码平台

image-20230409233903428

(3)攻击成本结论

​ a)成品号价格 > 资源价格

​ b)成品:手机号注册号价格 > 邮箱注册号价格

​ c)资源:电商平台三方卖家价格 > 接码平台价格

​ d)资源:免费接码平台资源被拉黑概率 > 收费接码平台资源被拉黑概率

​ f)风险:国内资源 > 国外资源 (具体原因是国内安全厂商不具备识别国外风险手机号的能力

2.3、防御思路

(1)海外卡

国家号非86;常见香港卡、澳门卡获取方式更为简单,所以对于海外卡检测时,要重点关注这两地卡号。

(2)虚拟卡

162、165、167、170、171;

海外卡和虚拟卡本身存在正常用户使用,只能对其进行标记,作为因子结合其他策略一同进行检测。

(3)风险卡检测

在注册、登录场景,面临全新的手机号,必须依靠外部平台通过企业共享、打码平台以及运营商等渠道对风险手机号进行标识。

3、验证码资源

3.1、验证码分代

(1)第一代:主要利用简单知识构建验证码。如中文、英文、数字等。

image-20230410004241816

(2)第二代:以第一代验证码为基础,以创新交互方式的思想构建验证码。如看题选字、看图选物等。

image-20230410004231786

(3)第三代:多场景多维度收集数据信息,为网站提供立体式安全防护。

image-20230208121751731

3.2、攻击方式

(1)图片识别

通过RNN、CNN进行图像识别。

(2)自动化点击

Selenium + Headless或chrome插件进行模拟点击。

(3)打码平台

若快、斐斐、超人等打码平台进行人工打码。

(4)协议破解

对第三代验证码进行协议破解。

作弊工具

4.1、作弊工具介绍

image-20230409235413905

(1)篡改软件

image-20230410000610163

(2)群控软件

image-20230410001233805

(3)自动化软件

image-20230410001239983

4.2、攻击方式

攻击流程一般是:篡改 + 驱动。

(1)篡改软件

常见HOOK工具包括Xposed、Frida等,常见成品改机工具有改机王、随心改等。通过篡改唯一标识和相关环境检测信息,达到逃避检测的目的,后续再配套上相关驱动代码,可以作为黑盒调用,也可以配合自动化点击完成整改攻击流程。
 

image-20230410002410545

image-20230410002301390

(2)自动化软件

常见的行为模拟工具auto.js、脚本精灵。除开现成的行为模拟工具也可以通过监听事件或坐标识别的方式达到自动化(驱动)的目的。

image-20230410003743034

4.3、防御思路

(1)设备指纹

基于设备与运行环境,为每台设备生成一个不可篡改的唯一标识,这个标识就是设备指纹。

(2)环境检测

针对市面逆向手段、逆向工具、作弊工具原理分析。对当前应用运行环境进行针对性风险检测。

image-20230410003743034

0x04-运维阶段

1、账号分级

将账号评分作为风控体系与业务体系沟通的标准

例如:对于资源投入高的活动,可以通过账号评分的标准适当调整用户的中奖概率,达到控制活动风险的目的。

2、黑白灰名单体系

(1)白名单

大概率为优质用户,可以用于风控准确性判断的依据。

例如:新应用的风控策略封禁的用户中有20%为白名单用户,那初步可以判断该策略是不合理的。

(2)灰名单

需要监视其行为。

例如:监视期间存在高频访问、频繁更换机器、频繁更换账号等异常行为可以进行封禁。

(3)黑名单

历史上封禁过的用户,需要考虑封禁周期。

例如:用户设备、手机号转让给其他正常用户是否可以解除封禁?

账号安全运维阶段所需要做的事,还没有思考透彻,后续如果有机会实践再来补充

0x05-结尾

软件工程没有银弹,逆向工程永远胜利。 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/832083.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

TikTok数据分析 | 用好超店有数,生意增长快人一步

TikTok在东南亚崛起之快令人叹服。 在东南亚第一大经济体印度尼西亚,超过200万小商家入驻了TikTok的电商平台; TikTok Shop 以6.9亿美元的收入市场份额超越Lazada成为越南第二大电商平台; 2023年泰国TikTok Shop的销售额一路猛涨&#xff…

交互流程图设计软件都有哪些?

交互流程图是设计行业信息流、观点流或组件流的图形代表。但是市场上应该如何选择各种交互流程图软件呢?如何使用高质量的交互流程图软件来绘制高端氛围的高档流程图?今天,小边给您带来了十个超级实用的交互流程图软件,我希望能帮…

8-3作业

思维导图 递归实现&#xff0c;输入一个数&#xff0c;输出这个数的每一位 #!/bin/bashif (( $# < 1 )); thenexit 1 finum$1function print_digits {if (( $1 < 10 )); thenecho $1elseprint_digits $(( $1 / 10 ))echo $(( $1 % 10 ))fi }print_digits $num 递归实现&…

Word导出高清PDF

通过word导出pdf清晰度较高的方法_word如何导出高分辨率pdf_Perishell的博客-CSDN博客通过打印机属性设置&#xff0c;让word打印出比较高清的pdf_word如何导出高分辨率pdfhttps://blog.csdn.net/weixin_45390670/article/details/129228568?ops_request_misc%257B%2522reques…

【Spring】(一)Spring设计核心思想

文章目录 一、初识 Spring1.1 什么是 Spring1.2 什么是 容器1.3 什么是 IoC 二、对 IoC 的深入理解2.1 传统程序开发方式存在的问题2.2 控制反转式程序的开发2.3 对比总结 三、对 Spring IoC 的理解四、DI 的概念4.1 什么是 DI4.2 DI 与 IoC的关系 一、初识 Spring 1.1 什么是…

GoogLeNet卷积神经网络-笔记

GoogLeNet卷积神经网络-笔记 GoogLeNet是2014年ImageNet比赛的冠军&#xff0c; 它的主要特点是网络不仅有深度&#xff0c; 还在横向上具有“宽度”。 由于图像信息在空间尺寸上的巨大差异&#xff0c; 如何选择合适的卷积核来提取特征就显得比较困难了。 空间分布范围更广的…

性能测试jmeter连接数据库jdbc(sql server举例)

一、下载第三方工具包驱动数据库 1. 因为JMeter本身没有提供链接数据库的功能&#xff0c;所以我们需要借助第三方的工具包来实现。 &#xff08;有这个jar包之后&#xff0c;jmeter可以发起jdbc请求&#xff0c;没有这个jar包&#xff0c;也有jdbc取样器&#xff0c;但不能发起…

Mysql面试突击班索引,事务与锁

Mysql面试突击班索引&#xff0c;事务与锁 1.为什么Mysql要使用B树做为索引而不用B树 B树能显著减少IO次数&#xff0c;提高效率B树的查询效率更加稳定&#xff0c;因为数据放在叶子节点B树能提高范围查询的效率&#xff0c;因为叶子节点指向下一个叶子节点B树采取顺序读 2.…

Mac直接使用Visio和MythType的解决办法

Mac使用 Visio 的三种解决办法及 Mac直接使用 MythType 的办法 今天终于在某种契机下解决了 Mac 下最大的不足&#xff0c;不能直接使用 Visio 和 MythType【2023年08月03日20:03:32】 摘要 众所周知在 mac 下无法直接使用 Visio 和 MythType&#xff0c;这导致我们&#xff0…

SSL 证书过期巡检脚本 (Python 版)

哈喽大家好&#xff0c;我是咸鱼 之前写了个 shell 版本的 SSL 证书过期巡检脚本 &#xff08;文章&#xff1a;《SSL 证书过期巡检脚本》&#xff09;&#xff0c;后台反响还是很不错的 那么今天咸鱼给大家介绍一下 python 版本的 SSL 证书过期巡检脚本 &#xff08;完整代码…

什么是跨链 DeFi?

跨链 DeFi 是指存在于多个不同区块链生态系统之间的金融应用程序生态系统&#xff0c;可以在彼此之间无缝交换数据和通证。 Web3 生态系统已经变得多链化&#xff0c;存在于数百个区块链、二层网络、应用链和其他环境的去中心化应用繁荣发展。虽然多样化的区块链生态系统的推出…

如何构建一套有效的培训系统

有效的培训系统对于组织的发展和员工的持续学习非常重要。一个好的培训系统可以提供全面的知识和技能&#xff0c;帮助员工不断成长和提升工作表现。 构建一个有效的培训系统需要确定培训目标。培训目标应该紧密与组织的战略目标相结合&#xff0c;明确员工需要掌握的技能和知…

SpringBoot 集成 Redis

本地Java连接Redis常见问题&#xff1a; bind配置请注释掉保护模式设置为noLinux系统的防火墙设置redis服务器的IP地址和密码是否正确忘记写访问redis的服务端口号和auth密码 集成Jedis jedis是什么 Jedis Client是Redis官网推荐的一个面向java客户端&#xff0c;库文件实现…

Centos7升级gcc、g++版本(转载)

Centos7默认的 gcc版本是 4.8.5 默认使用yum install gcc安装出来的gcc版本也是是4.8.5。 1.首先查看自己的 gcc 版本 gcc -v g -v如果出现&#xff1a;bash: g: 未找到命令... 则安装g&#xff1a;遇到暂停时&#xff0c;输入y继续安装 yum install gcc-c然后输入&#xf…

PGsql-安装

目录 方法一 方法二 方法一 安装&#xff1a;请点击进入&#xff0c;支持官网下载 免安装版&#xff0c;选择zip格式 选择对应的版本&#xff1a; 注意&#xff1a;如果要使用 Navicat 连接 PostgreSQL&#xff0c;建议选择低版本&#xff01;&#xff01; 高版本会出现的问…

元宇宙虚拟展厅的特点是什么呢?优势有哪些?

元宇宙是一个很广阔的虚拟世界&#xff0c;它可以创造出更为丰富、沉浸式的体验&#xff0c;这种全新的体验为展览和艺术领域带来了更多的可能性&#xff0c;元宇宙虚拟展厅以其多样化、互动性、沉浸式展示的特点&#xff0c;带领大家进入一个虚拟现实的全新世界。 元宇宙虚拟展…

如何下载Bootstrap?编译版与源码版有何区别?Bootstrap的编译版下载下来之后有哪些文件?

01-进入Bootstrap的官网 https://getbootstrap.com/ 02-右上角选择"All versions",或者直接通过URL进入版本选择界面&#xff1a; https://getbootstrap.com/docs/versions/ 03-在页面中根据自己的需要选择版本下载。 通常下载编译版(Compiled版)&#xff0c…

python 数据分析面试题:求分组排第n名的记录数据

近期面试遇到一个面试题&#xff0c;分享给大家。 文中会提供详细的解题思路以及问题延伸 一、面试题 面试题&#xff1a;输出各学科总分第一名的学员姓名、年龄、分数数据&#xff1a; class_a {name: [学员1, 学员2, 学员3, 学员4,学员5],age: [23, 24, 26, 27,25],course…

c高级:day2

1.思维导图 3.递归输出每个数 #include <myhead.h>void func(int num) {if (num/10 0){printf("%d\n", num);}else{func(num/10);printf("%d\n", num%10);} }int main(int argc, char *argv[]) {int num;printf("请输入一个数&#xff1a;&qu…

如何使用 ChatGPT 为 Midjourney 或 DALL-E 等 AI 图片生成提示词

人工智能为创意产业开辟了一个充满可能性的全新世界。人工智能最令人兴奋的应用之一是生成独特且原创的艺术品。Midjourney 和 DALL-E 是人工智能生成艺术的两个突出例子&#xff0c;吸引了艺术家和艺术爱好者的注意。在本文中&#xff0c;我们将探索如何使用 ChatGPT 生成 AI …