【天壤智能-注册安全分析报告-无验证纯IP限制存在误拦截隐患】

前言

由于网站注册入口容易被机器执行自动化程序攻击,存在如下风险:

  1. 暴力破解密码,造成用户信息泄露,不符合国家等级保护的要求。
  2. 短信盗刷带来的拒绝服务风险 ,造成用户无法登陆、注册,大量收到垃圾短信的用户投诉导致短信通道被关停。
  3. 带来经济损失,尤其是后付费客户,需要承担被盗刷造成的大额短信费 ,造成亏损无底洞。

在这里插入图片描述

所以大部分网站及App 都采取图形验证码或滑动验证码等交互解决方案, 但在机器学习能力提高的当下,连百度这样的大厂都遭受攻击导致点名批评, 图形验证及交互验证方式的安全性到底如何? 请看具体分析

一、 AI智能的发展给行为验证带来威胁

验证码本质上自带一层答案的语义,这原本是天然的区分人和自动程序的地方,但在今日却未必,由于AI智能及CHATGPT等大模型的发展,机器要识别也变得更加容易。
1、 目标识别框架
黑产破解者为了降低攻击成本、提高破解效率,通常会利用收集的大量验证码图片样本,打码标注、构建模型网络、训练模型、测试模型,从而得到一个可持续识别图片答案的识别。目前,黑产针对验证码图片的破解最常用的主要是分类模型和相似模型。
在这里插入图片描述

2、 批量下载存储验证图片,共需要大数万张图片。
在这里插入图片描述

3、 黑产训练出一个高准确度的识别模型后,后续破解验证码时,通过识别模型就能直接获取答案坐标。在这里插入图片描述

4、 借力大模型进行升级
俗话说:道高一尺,魔高一丈,在chatgpt大模型发展的今天,行为验证的方式无论怎么变花样,被破解只是时间而已,被伤害的反而是真实用户。

在这里插入图片描述

二、 天壤智能- PC注册入口

简介:天壤成立于2016年,是专注于通用智能研究的创新企业,致力解决人工智能的可用性和易用性问题,实现以最快速度和最大效益化赋能客户。
目前已广泛服务于企业服务、数字金融、生物科技和城市运行等数字化场景。天壤希望智能成为像水电煤一样的基础设施,为人类社会的可持续发展带来突破性进展,让社会更聪明、更智慧。

在这里插入图片描述

在这里插入图片描述

三、 安全性分析报告:

前端界面分析,天壤智能未采取任何验证措施,存在验证的安全隐患,同行一般会在注册下发短信验证码时采用图形验证、行为验证方式。

在这里插入图片描述

四、 测试方法:

1 模拟器交互部分


private final String INDEX_URL = "https://open.tianrang.com/signin";@Overridepublic RetEntity send(WebDriver driver, String areaCode, String phone) {try {RetEntity retEntity = new RetEntity();driver.get(INDEX_URL);WebElement iframeElement = driver.findElement(By.id("auth-iframe"));driver.switchTo().frame(iframeElement);// tabThread.sleep(500);WebElement tabElement = driver.findElement(By.xpath("//a[contains(text(),'立即注册')]"));tabElement.click();// 输入手机号Thread.sleep(500);WebElement phoneElement = driver.findElement(By.id("signup_phone"));phoneElement.sendKeys(phone);// 点击发送验证码按钮Thread.sleep(1000);WebElement sendElemet = ChromeDriverManager.waitElement(driver, By.xpath("//button/span[contains(text(),'发送验证码')]"), 10);if (sendElemet == null) {return null;}sendElemet.click();Thread.sleep(100);WebElement errElemet = ChromeDriverManager.waitElement(driver, By.xpath("//span[contains(text(),'you can only send one code in')]"), 10);String error = (errElemet != null) ? errElemet.getText() : null;if (error != null) {retEntity.setMsg(error);return retEntity;}WebElement gtElemet = ChromeDriverManager.waitElement(driver, By.xpath("//span[@class='ant-input-group-addon']/button"), 15);String gtInfo = (gtElemet != null) ? gtElemet.getText() : null;retEntity.setMsg(gtInfo);if (gtInfo != null && gtInfo.contains("s")) {retEntity.setRet(0);}return retEntity;} catch (Exception e) {System.out.println("phone=" + phone + ",e=" + e.toString());for (StackTraceElement ele : e.getStackTrace()) {System.out.println(ele.toString());}return null;} finally {GetImage.cookieClear(driver);}}

2 测试结果输出:

在这里插入图片描述

  由于该网站无验证措施,本次测评非常简单

五丶结语

等数字化场景。天壤希望智能成为像水电煤一样的基础设施,为人类社会的可持续发展带来突破性进展,让社会更聪明、更智慧。
作为AI智能的创新企业,拥有雄厚的技术实力,但对短信被盗刷的方面不够重视或没有安全方面的经验 , 测试结果发现未采取任何的验证措施,单纯靠IP限制。

IP限制问题:ip限制的优点是实现简单有效,可以拦截同一个ip的攻击,但负作用也很明显

1) 比如移动网关同一个ip后面会有很多手机用户,存在误拦截的隐患

2) 防护效果有限,采用代理IP就可以绕过这个规则限制,在无任何验证的情况下, 随便你怎么攻击都可以

很多人在短信服务刚开始建设的阶段,可能不会在安全方面考虑太多,理由有很多。
比如:“ 需求这么赶,当然是先实现功能啊 ”,“ 业务量很小啦,系统就这么点人用,不怕的 ” , “ 我们怎么会被盯上呢,不可能的 ”等等。

有一些理由虽然有道理,但是该来的总是会来的。前期欠下来的债,总是要还的。越早还,问题就越小,损失就越低。

所以大家在安全方面还是要重视。(血淋淋的栗子!)#安全短信#

戳这里→康康你手机号在过多少网站注册过!!!

谷歌图形验证码在AI 面前已经形同虚设,所以谷歌宣布退出验证码服务, 那么当所有的图形验证码都被破解时,大家又该如何做好防御呢?

>>相关阅读
《腾讯防水墙滑动拼图验证码》
《百度旋转图片验证码》
《网易易盾滑动拼图验证码》
《顶象区域面积点选验证码》
《顶象滑动拼图验证码》
《极验滑动拼图验证码》
《使用深度学习来破解 captcha 验证码》
《验证码终结者-基于CNN+BLSTM+CTC的训练部署套件》

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/web/60299.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

SQLAlchemy,ORM的Python标杆!

嗨,Python的小伙伴们!今天咱们来了解 SQLAlchemy,这可是对象关系映射(ORM)里的超级标杆哦!它就像一座神奇的桥梁,能让我们用 Python 代码轻松地和数据库打交道,不用写复杂的 SQL 语句…

前端测试工具(Jest与Mock)

Jest 工具详解:从安装到使用** Jest 是一个流行的 JavaScript 测试框架,广泛用于 React 应用及其他 JavaScript 项目的测试。它是由 Facebook 创建的,具有简单、快速、功能强大的特点。 一、Jest 的安装 1.1 环境准备 Jest 需要运行在 Nod…

Makefile 之 wordlist

wordlist $(wordlist <s>,<e>,<text> ) 名称&#xff1a;取单词串函数——wordlist。 功能&#xff1a;从字符串<text>中取从<s>开始到<e>的单词串。<s>和<e>是一个数字。 返回&#xff1a;返回字符串<text>中从…

大数据实验4-HBase

一、实验目的 阐述HBase在Hadoop体系结构中的角色&#xff1b;能够掌握HBase的安装和配置方法熟练使用HBase操作常用的Shell命令&#xff1b; 二、实验要求 学习HBase的安装步骤&#xff0c;并掌握HBase的基本操作命令的使用&#xff1b; 三、实验平台 操作系统&#xff1…

内网安全隧道搭建-ngrok-frp-nps-sapp

1.ngrok 建立内网主机与公网跳板机的连接&#xff1a; 内网主机为客户机&#xff1a; 下载客户端执行 2.frp &#xff08;1&#xff09;以下为内网穿透端口转发 frp服务端配置&#xff1a; bindPort 为frp运行端口 服务端运行 ./frps -c frps.ini frp客户端配置&#xf…

三十一、构建完善微服务——API 网关

一、API 网关基础 系统拆分为微服务后&#xff0c;内部的微服务之间是互联互通的&#xff0c;相互之间的访问都是点对点的。如果外部系统想调用系统的某个功能&#xff0c;也采取点对点的方式&#xff0c;则外部系统会非常“头大”。因为在外部系统看来&#xff0c;它不需要也没…

前端:HTML (学习笔记)【1】

一&#xff0c;网络编程的三大基石 1&#xff0c;URL &#xff08;1&#xff09;url —— 统一资源定位符&#xff1a; 网址——整个互联网中可以唯一且准确的确定一个资源的位置。 【项目外】 网址——https://www.baidu.com/ …

2024-11-21 学习人工智能的Day29 初见深度学习

深度学习前置 Pytorch ​ Pytorch是基于python的深度学习框架&#xff0c;被广泛应用在计算机视觉、自然语言处理、语音识别等领域。PyTorch提供了许多高级功能&#xff0c;如**自动微分&#xff08;automatic differentiation&#xff09;、自动求导&#xff08;automatic g…

实验室管理现代化:Spring Boot技术方案

4系统概要设计 4.1概述 本系统采用B/S结构(Browser/Server,浏览器/服务器结构)和基于Web服务两种模式&#xff0c;是一个适用于Internet环境下的模型结构。只要用户能连上Internet,便可以在任何时间、任何地点使用。系统工作原理图如图4-1所示&#xff1a; 图4-1系统工作原理…

2.langchain中的prompt模板 (FewShotPromptTemplate)

本教程将介绍如何使用 LangChain 库中的 PromptTemplate 和 FewShotPromptTemplate 来构建和运行提示&#xff08;prompt&#xff09;&#xff0c;并通过示例数据展示其应用。 安装依赖 首先&#xff0c;确保你已经安装了 langchain 和相关依赖&#xff1a; pip install lan…

如何在 Microsoft Edge 中设置代理: 快速而简单的方法

你知道在 Microsoft Edge 中设置代理可以大大提升浏览体验吗&#xff1f;无论您是想提高隐私保护、访问受地理位置限制的内容&#xff0c;还是想更高效地浏览网页&#xff0c;代理服务器都能改变一切。 本指南将介绍如何在 Microsoft Edge 中设置代理&#xff0c;解决常见的代…

【机器学习】近似分布的熵到底是p(x)lnq(x)还是q(x)lnq(x)?

【1】通信的定义 信息量&#xff08;Information Content&#xff09;是信息论中的一个核心概念&#xff0c;用于定量描述一个事件发生时所提供的“信息”的多少。它通常用随机变量 &#x1d465;的概率分布来定义。事件 &#x1d465;发生所携带的信息量由公式给出&#xff1…

Excel如何批量导入图片

这篇文章将介绍在Excel中如何根据某列数据&#xff0c;批量的导入与之匹配的图片。 准备工作 如图&#xff0c;我们准备了一张员工信息表以及几张员工的照片 可以看到&#xff0c;照片名称是每个人的名字&#xff0c;与Excel表中的B列&#xff08;姓名&#xff09;对应 的卢易…

【操作系统】操作系统的特征

操作系统的七个基本特征 并发性&#xff08;Concurrence&#xff09; 并发性是指操作系统在同一时间间隔内执行和调度多个程序的能力&#xff0c;提高资源利用率和系统效率。尽管多个任务可能在同一时刻看似同时进行&#xff0c;但实际上&#xff0c;CPU在多个任务之间快速切…

iPhone 17 Air看点汇总:薄至6mm 刷新苹果轻薄纪录

我们姑且将这款iPhone 17序列的超薄SKU称为“iPhone 17 Air”&#xff0c;Jeff Pu在报告中提到&#xff0c;我同意最近关于 iPhone 17超薄机型采用6 毫米厚度超薄设计的传言。 如果这一测量结果被证明是准确的&#xff0c;那么将有几个值得注意的方面。 首先&#xff0c;iPhone…

springboot嗨玩旅游网站

摘 要 嗨玩旅游网站是一个专为旅行爱好者打造的在线平台。我们提供丰富多样的旅游目的地信息&#xff0c;包括景点信息、旅游线路、商品信息、社区信息、活动推广等&#xff0c;帮助用户轻松规划行程。嗨玩旅游网站致力于为用户提供便捷、实用的旅行服务&#xff0c;让每一次旅…

LLM学习笔记(2)会话补全Chat Completions、什么是JSON?

什么是会话补全Chat Completions&#xff1f; 功能目标&#xff1a;处理多轮对话。 它模拟对话的逻辑&#xff0c;比如聊天机器人对用户消息的回应。使用的模型主要是针对对话型应用优化的模型&#xff0c;例如gpt-3.5-turbo或gpt-4。 什么是JSON&#xff1f; JSON 本质上是…

C++和js对比

1. 变量定义 C&#xff1a; #include <iostream> int main() {// 定义整型变量int num 10;// 定义浮点型变量double pi 3.14159;// 定义字符型变量char ch A;std::cout << "num: " << num << ", pi: " << pi << &…

SpringBoot与MongoDB深度整合及应用案例

SpringBoot与MongoDB深度整合及应用案例 在当今快速发展的软件开发领域&#xff0c;NoSQL数据库因其灵活性和可扩展性而变得越来越流行。MongoDB&#xff0c;作为一款领先的NoSQL数据库&#xff0c;以其文档导向的存储模型和强大的查询能力脱颖而出。本文将为您提供一个全方位…

潜水打捞系统的功能概率和使用方法_深圳鼎跃

潜水打捞系统是用于帮助打捞沉物&#xff0c;提供足够的浮力支持&#xff0c;确保沉物从水底浮升到水面。它是一种高强度的袋状结构&#xff0c;能够在水下提供调节浮力的功能&#xff0c;广泛应用于水下打捞、海上救援、沉船打捞等领域。 一、功能概述 潜水打捞系统主要功能为…