注册安全分析报告:小雇app存在严重安全隐患-爱代码爱编程
前言
由于网站注册入口容易被黑客攻击,存在如下安全问题:
- 暴力破解密码,造成用户信息泄露
- 短信盗刷的安全问题,影响业务及导致用户投诉
- 带来经济损失,尤其是后付费客户,风险巨大,造成亏损无底洞
所以大部分网站及App 都采取图形验证码或滑动验证码等交互解决方案, 但在机器学习能力提高的当下,连百度这样的大厂都遭受攻击导致点名批评, 图形验证及交互验证方式的安全性到底如何?请看具体分析。
一、 小雇-App 端注册入口
简介:小雇app是一款为自由职业者和技能达人们设计的应用程序。
小雇app旨在帮助用户将其能力、爱好或手艺转化为赚钱的事业,同时通过自媒体更好地在工作中营销品牌。这款app在服务行业具有广泛的适用性,允许自由职业者和技能达人通过工作创立、工作管理、自媒推广和工作社交来建立自己的事业,扩大影响、找寻灵感、结识朋友并提升业绩。小雇app不仅是一个寻找服务的平台,还通过精准搜索和社交主页,帮助雇主用户实现“找到ta”-“了解ta”-“选择ta”的过程,从而找到更加符合自己要求的服务者,完成工作目标或享受生活。
二、 安全分析:
App 端, 未采取任何加密措施,存在明显的明文报文漏洞,容易被利用发送大量的垃圾短信
三、 安全性分析报告:
四丶结语
小雇APP是一款新推出的为自由职业者服务的APP,存在严重的安全漏洞, 此次的安全分析发现,很多的APP 开发者关注功能,但忽略安全方面的, 稍有经验的APP 开发者都会采用对称加密, 再采用APP加固, 虽然加固及加密措施也同样面临脱壳和逆向, 但这是一般的高级做法。
很多人在短信服务刚开始建设的阶段,可能不会在安全方面考虑太多,理由有很多。
比如:“ 需求这么赶,当然是先实现功能啊 ”,“ 业务量很小啦,系统就这么点人用,不怕的 ” , “ 我们怎么会被盯上呢,不可能的 ”等等。有一些理由虽然有道理,但是该来的总是会来的。前期欠下来的债,总是要还的。越早还,问题就越小,损失就越低。
所以大家在安全方面还是要重视。(血淋淋的栗子!)#安全短信#
谷歌图形验证码在AI 面前已经形同虚设,所以谷歌宣布退出验证码服务, 那么当所有的图形验证码都被破解时,大家又该如何做好防御呢?
>>相关阅读
《腾讯防水墙滑动拼图验证码》
《百度旋转图片验证码》
《网易易盾滑动拼图验证码》
《顶象区域面积点选验证码》
《顶象滑动拼图验证码》
《极验滑动拼图验证码》
《使用深度学习来破解 captcha 验证码》
《验证码终结者-基于CNN+BLSTM+CTC的训练部署套件》