Article / 文章中心

安全测试 : 去哪儿及寺库注册安全评测-源码

发布时间:2022-10-26 点击数:1236

1 去哪儿的注册防御机制及优缺点分析

作为一线大厂的去哪儿, 在谷歌验证码方式下, 是如何在注册环节做防御的呢?
在这里插入图片描述
注册页面:
在这里插入图片描述

1.1 注册主要防御攻击:机器批量注册。

前端和风控系统结合的方式。

去哪儿在保证安全的前提下,比较注重用户体验, 同样是谷歌验证码方式, 去哪儿准备了3 种难度的图形验证码

同IP多次注册限制策略
用户中心将用户注册信息同步给风控,风控返回约定的编码。根据不同的编码,3W注册页升级对应的方案。

  1. 用户注册页,默认出现第一种验证码。(简单验证码)
    在这里插入图片描述
  2. 同一IP在24小时内尝试注册3次,出现第二种验证码(复杂验证码)
    在这里插入图片描述
  3. 同一IP在1小时内注册6次,出现第三种验证码(最高级别验证码)
    在这里插入图片描述
  4. 同一IP在24小时内注册9次,界面弹层提示用户不允许继续使用邮箱注册,可通过手机注册去哪儿网账号。如下图:
    在这里插入图片描述
    弹层文案:我们检测到您的IP注册过于频繁,为了您的账号和操作安全,请您使用手机号注册。
    用户点击我知道了或右上角X,弹层关闭,页面默认跳转到手机号注册页面。隐藏邮箱注册入口。
  5. 同一IP在24小时内注册20次,将用户IP锁定2小时。弹层提示用户:注册过于频繁,请2小时后再试。用户点击我知道了和右上角X,弹层关闭。该用户在2小时内不允许注册。2小时后锁定解除,可继续注册。

前端表单明文:
在这里插入图片描述

1.2 优缺点分析:

用户体验分析:
大多数用户,应该会碰到第一种图形验证码
但如果用户在IP 集中的情况下, 比如移动网关IP ,可能一个IP 活跃的用户数很多, 会出现如下问题
a 用户普遍出现难以识别的第三种,
b 同ip注册超过20次,则无法注册, 造成真实客户流失的情况。
安全性分析:
这3种图形验证码,在《使用深度学习来破解 captcha 验证码》下,根本无法防御,形同虚设,
每个IP 可以攻击 20,在更换IP的前提下 , 就可能被黑客无限制次数的攻击。

1.3 注册安全评测结果

1 网站防护方式;
 图片验证
 规则限制 : 同IP、同手机号发送数量限制

2 表单攻击防御:  无
3 风险等级分布:  相对安全
漏洞检测结果
 低
检测结论
1、 图片越复杂,用户体验越差
2、 误拦率高
点评: 容易受黑客利用AI识别图形验证码及更换IP进行攻击,损失一定短信费用

2 寺库的注册防御机制及安全分析

在这里插入图片描述

寺库的用户注册防御机制其实和去哪儿非常类似(据说寺库的技术是从去哪儿过去的),只是同一个IP 刚开始,不会出现图形验证码, 更好的用户体验,但同时也带来隐患。
用户注册:
在这里插入图片描述

2.1 注册主要防御攻击:机器批量注册。

2.2 优缺点分析:

2.3 注册安全评测结果

有没有更好的防护手段呢?
新新科技研发的下一代隐藏式验证安全产品
选用新昕科技研发的企业短信防火墙,理由 :
1 应用AI立体防御技术,无需图形验证,彻底解决“安全”与“用户体验”的矛盾,互联网产品专注用户体验,无需为安全让步。
2 丰富可视化图表,防御拦截数据尽收眼底,实时查看当日数据详情与近期风险趋势。
3 SAAS极速接入,本地部署运行,毫秒级响应。交易风控引擎浓缩10M安装包,极速采集基础数据,匹配多维度风险特征。避免“云模式”网络延时问题。