原标题：秒验 重新定义“一键登录” 现如今，一般APP在注册登录时，仍然要经历填写用户名、密码、绑定手机号等一系列传统流程，有的人认为可以通过第三方登录避免这些流程，但仍旧要经历手机验证码的环节，而且存在验证码被拦截的风险，短信费用也很高。要解决这些问题就要用到我们的秒验产品啦！ 一、原理 用户一键授权登录后，通过网关取号比对，并返回比对结果实现手机用户免密登录。整个过程仅需1.5秒，用户全程无感知！ 二、优势 1.一键验证登录，无短信黑名单，无通道拥堵，验证成功计费 2.支持三大运营商号码认证，一次完成三网对接 3.杜绝GSM+短信嗅探，保障账户安全 4.3s快速注册登录 5.基于芯片和PKI非对称加密算法 从根源上降低企业验证成本，有效提高拉新转化率，3秒完成手机号验证，支持三大运营商认证 三、应用场景。各类需要登录注册的APP、小程序、H5页面等。 四、秒验产品额外提供的功能。 除了进行身份认证之外，秒验还将推出“二次号检测”功能，能 查询当前用户的卡号是否属于“二次号”――即运营商由于号码资源有限而再次启用的原销户卡 号。很多用户虽然已经办理了“销号”业务，但却没有将号码与服务账号解绑。 对于一些对安全 性和保密性要求比较高的服务提供商，比如金融类应用，“二次卡查询功能”相当重要。 当运营 商“二次发卡”之时，原来用户的账户可能会有风险。如果服务提供商能提前通过用户在网时间 判断该用户是否更换手机号码，那么可以保证用户能在注销号码之后，权益不会受损，同时也 能让重新使用该号码的用户不误收提示信息。返回搜狐，查看更多 责任编辑：

etc诈骗现新花样这种短信别信 最近总收到关于etc的诈骗短信

etc诈骗案,etc骗局,etc诈骗多少金额可以立案,etc诈骗短信钱能追回吗
顶象防御云业务安全情报中心监测到，某车企大量用户信息数据被泄露，部分用户账号反馈登录异常，且出现账户内积分在用户不知情的情况下被大量兑换的情况。顶象防御云业务安全情报中心BSL-2022-a3c32号显示，黑灰产通过撞库、密码爆破等方式，获取大量车企用户登录账号，并批量登录爬取账户内个人信息，包含账户绑定邮箱、手机号、积分数量、注册时间等信息，然后将成功获取的数据通过暗网等交易平台出售变现。这样的行为不仅导致用户对企业产生不信任感，企业声望受损，用户流失，而且导致企业股价下跌，高层动荡，影响业务正常运营，更甚者还会导致企业面临诉讼等风险。数智时代的到来让汽车迎来新一轮的变革，汽车智能化在带来便利的同时也极易引发数据安全问题。在汽车智能网联化的大潮中，车企已经从拼规模、降成本、求稳定、增效率的阶段转向“用户共创”阶段。基于用户研究、市场营销、产品体验、售后能力，搭建以用户位置为中心的服务体系。与此同时，这也意味着车企必须获取更多的用户信息以便车企与用户之间做更好的连接。因此，很多行车安全功能的实现离不开数据的采集，自动驾驶所需的感知、决策、控制都依赖于大数据采集的各种场景，保障车主人身安全也需要行车路线和位置数据的采集，只有收集了这些数据才能使人车配合得更加紧密。所以，一旦敏感数据被破坏或泄露，将会造成重大经济损失或生产瘫痪。此外，近几年，随着法律法规对于数据安全的重视，车企的合规风险也成为其重点关注方向之一。因为当企业发生数据泄露事件，除了会让用户对企业产生不信任感，对企业声望受损，从而导致用户流失之外。严重的还会导致企业股价下跌，高层动荡，影响业务正常运营，更甚者还会导致企业面临诉讼等风险。近日，顶象防御云业务安全情报中心发现某车企大量用户信息数据被泄露，部分用户账号反馈登录异常，且出现账户内积分在用户不知情的情况下被大量兑换的情况。进一步分析发现，黑灰产通过撞库、密码爆破等方式，获取大量车企用户登录账号，并批量登录爬取账户内个人信息，包含账户绑定邮箱、手机号、积分数量、注册时间等信息。后将成功获取的数据通过暗网等交易平台出售变现。那么，黑灰产是如何进行攻击的呢？一般来说，黑灰产针对账号攻击有两种方式，一是撞库攻击，即通过已有的用户信息生成对应的字典表，对目标网站发起批量登录请求。二是密码爆破攻击，即对目标账号的密码逐个尝试，利用穷举法找出真正的密码。两者在使用目的上是有区别的，撞库攻击是当攻击者成功入侵一个安全防护能力很弱的网站A，并拿到其数据库的所有用户名密码组合，然后再拿着这些组合去站点B尝试企图获取网站B的批量有效用户登录信息。密码爆破攻击主要是针对一些高权限、高价值账号，用大量密码去试探，想要盗用的账号目标非常明确。1、撞库攻击：撞库是黑客通过收集互联网已泄露的用户和密码信息，生成对应的字典表，尝试批量登陆其他网站后，得到一系列可以登录的用户信息。由于很多用户的密码安全意识不强，通常为了方便记忆，在多个网站长期使用同一个账号密码登录。因此黑客可以通过获取用户在A网站的账户从而尝试登录B网址，这就是撞库攻击。下图是账号攻击黑产链条，撞库是其中一环。黑灰产主要通过一些自动化工具对目标撞库网站的登录接口批量提交大量的用户名、密码组合，并记录下登录结果，输出能成功登录的组合，为后续盗号、积分盗取等行为做准备。2、密码爆破攻击密码爆破又叫暴力破解，简单来说就是将密码逐个尝试，直到找出真正的密码为止, 本质上是利用了穷举法。所以攻击行为特征是同一个用户账号在短时间内关联大量的密码来请求登录接口，主要用在一些高价值账号的盗号攻击上。密码爆破攻击目前市面上已有大量的成熟使用的工具，常见的有以下几种：1）Burp Suite：Burp Suite是用于攻击web应用程序的集成平台。它包含了许多工具，并为这些工具设计了接口。主要可以应用Burp Suite来进行抓包、改包、截断上传、扫描、爆破等功能。2）Hydra：Hydra工具是著名黑客组织Thc的一款开源的暴力破解工具。可以破解多种密码。主要支持：Telnet、Ftp、Http、Https、Http-proxy、 Mssql、Mysql等。唯一不方便的就是破解时须要的字典须我们自己制作。这款工具可以应用在Windows环境和Linux环境下，Windows 环境下是没有图形界面的，在Linux环境下是有图形界面的。3）DUBrute：DUBrute工具主要是一款用于批量暴破3389密码的工具，也可以进 行指定目标的暴破。4）Oraburte：Oraburte是一款专门针对于Oracle数据库用户名登录密码暴破的工具，此工具使用简单，但暴破速度较慢。对于黑灰产而言，盗取用户数据只有一个目的，那就是变现。其变现方式一般有以下几种：1、贩卖数据黑灰产撞库获取用户登录信息后，批量登录并爬取的用户个人隐私数据，除了网站登录账号、密码之外，还会爬取用户邮箱、手机号、平台用户等级、积分数量、注册日期等个人信息，打包在暗网进行出售。2、直接变现获取大量用户信息后，黑灰产会筛选出高价值用户，实现直接变现。比如将用户账号中的积分、资产等变现。在汽车案例中，通过爬取用户个人信息，获取账号的积分值，筛选出高额积分值的账号，直接登录盗号消耗客户积分，兑换商品、电子礼品券。3、电信诈骗黑灰产利用撞库所得来的账号信息，登录用户账号对用户行为数据、个人数据进一步分析，刻画用户画像，筛选诈骗用户群体，针对性的对用户进行电信诈骗。针对以上登录场景遭遇的撞库、密码爆破攻击手段，顶象防御云业务安全情报中心的防控建议如下：1、终端加固/H5混淆1）终端加固：从客户端安全考虑，APP的iOS渠道和Android渠道都建议加终端加固，通过加固技术，实现端安全防护，如Android端的DEX文件保护、SO文件保护、资源文件保护、数据文件等进行深度混淆、加固保护，让黑产无法直接对APP进行逆向、破解。2）H5混淆：网页端建议加H5混淆防护，象H5代码混淆?具，通过加密混淆引擎，对H5代码进?加密、混淆、压缩，可以增加H5代码的安全性，有效防?产品被?灰产复制、破解。2、通信传输安全保障在终端增加环境检测等模块后，环境检测模块产生的数据往往没有和业务数据进行绑定，这就造成黑产有可能会篡改报文中的一些数据，所以本方案里运用了一些安全手段，防止终端安全检测模块的数据被篡改和冒用。3、行为验证码进行人机识别据黑灰产作弊手段分析，该黑产在登录环节主要是以撞库、密码爆破自动化程序进行高频恶意攻击，对于识别机器行为，轻部署且最简单的识别工具就是行为验证码，在登录场景加上行为验证码对请求进行人机校验，可有效拦截此类黑产攻击。4、业务安全策略防控风控维度建议：以下是常见的风控维度：1）设备终端运行环境检测，校验运行环境是否正常，如识别指纹ID是否合法、端是否有群控、调试、模拟器、注入、VPN、代理等特征，通常自动化攻击黑产设备大多具备以上特征。2）异常行为检测，设备使用限制，如限制同一设备短时间尝试登录大量账号、同设备短时间切换大量IP、同账号短时间密码错误次数限制、IP短时间高频访问等行为维度检测。3）维护本地黑白名单，基于风控数据、历史用户数据，沉淀并维护对应黑白名单数据，包括用户ID，IP地址，设备黑名单等。4）模型，线上数据有一定积累以后，通过风控数据以及业务的沉淀数据，对用户行为进行建模，模型的输出可以直接在风控策略中使用。5、 APP发版建议在黑产对抗过程中，策略需要多次更新迭代，为保证策略能对黑产工具可用，建议APP强更。历史分析多起黑产攻击案例中，大量漏洞在迭代的新版中已可识别覆盖，但是黑产往往都是通过低版本漏洞进行攻击。6、防控产品组合建议1) 设备指纹：设备指纹可以针对端上风险进行识别，设备终端运行环境检测，校验运行环境是否存在风险特征，例如注入、模拟器、调试、群控、云真机等风险设备，配合决策引擎使用，可以实时发现风险并给予处置。以及生成唯一设备ID，用于数据聚合统计、设备风险监测。2）决策引擎：通过引擎配置登录场景防撞库、防密码爆破策略规则，从设备行为、用户行为、以及IP地址风险等维度进行风险防控，对请求进行风险分层。业务端结合引擎返回的风险等级进行分层处置。3)行为验证码：据黑产作弊手段分析，该黑产在登录环节主要是以撞库、密码爆破自动化程序进行高频恶意攻击，对于识别机器行为，轻部署且最简单的识别工具就是行为验证码，在登录场景加上行为验证码对请求进行人机校验，可有效拦截此类黑产攻击。4）风险IP名单库：黑产使用自动化程序攻击时，为了规避相关IP地址频次限制防控策略，通常会选择IP代理池组合使用。通过秒级切换海量IP来实现高频访问，使用IP黑库可以覆盖此类风险IP。#在头条看见彼此#举报/反馈

简单的组合拳

原标题：简单的组合拳 前言： 在最近的wxb举行hw中，同事让我帮他看看一些后台登录站点。尝试了未授权，弱口令皆无果，要么不存在弱口令，要么有验证码，没办法绕过。本文章仅提供一个思路，在hw中更多时候并不推荐尝试这种思路，只能作为一种解，因为花费的时间较长，前后大概花费了一个小时才拿下一个后台账号。 过程及思路： 在外围打点的过程中发现了一个站点，存在用户名枚举： 然后看到下面的验证码，估计很多都会放弃了吧！短信验证码+密码才能登录，爆破难度太大了。我一开始也是这么想的，后面尝试了下面的找回密码，看看是否能任意修改他人的账号密码。 后续先用自己不常用的手机号获取下验证码（这一步其实在hw中是很危险的，很容易被溯源）。发现短信验证码为四位数，而且失效时间大约在3分钟左右。查看这边重置密码的条件也就是短信验证码。这时候还记得我们前面发现的用户名枚举吗？我的思路是结合这两个漏洞，实现重置他人密码。 那么问题来了，我怎么知道用户的手机号码呢？或者说，手机号码那么多我要怎么找呢？这个是一个地级市的服务平台，那么他的用户理论上会存在大部分的该地级市的手机号码。每个地区的号码都是由前七位控制的，那么就可以查询一个地区的所有前七位号码，在加上遍历后面4位号码即可获得一个地区的手机号字典。这边给大家推荐一个工具，可以用来爬取一个地级市所有的手机号码。使用后会在本地生成字典号码。 https://github.com/SouthernYard/GetNumber 然后把这些号码用burp去爆破，就可以获取到数据库里面存在的账号了。 通过爆破，我们获取到了后台账号，再结合前面的4位数验证码，去尝试爆破。 抓取重置密码的请求包，密码我们提前写好了： 再用intruder去爆破短信验证码： 皇天不负有心人，尝试了几次，终于成功了。当我高高兴兴拿着密码去登录时，发现还要验证码，这时候再重复一下前面的操作就行了。 然后就是把整个响应包的内容复制下来，再去点击下登录，然后替换掉登录报错的信息即可成功进入后台。 里面富含大量敏感信息，虽然没啥用。 然后在功能列表里面找到一个上传图片的地方，并未做过滤，成功上传木马： 但是没啥用，解析不了QAQ。本次只是给大家介绍一下思路，方法是可行的。其实我也不想用这种方法，但是更多的是想验证自己的猜想，才最终去实践证明。 征集原创技术文章中，欢迎投递 投稿邮箱： edu@antvsion.com 文章类型：黑客极客技术、信息安全、热点安全研究分析等安全相关 通过审核并发布能收获200-800不等的稿酬 更多详情介绍，点我查看 靶场实操，戳“阅读原文“返回搜狐，查看更多 责任编辑：