Business security issues
Some actual problems that may occur in the production environment, I think this is not only targeted by penetration testing engineers, but also some developers need to be aware of
account security
Issues of identity theft such as number theft and database collision
“撞库”攻击的形式
尝试登录大量【用户名+密码】组合
利用已泄露的多家网站用户数据库
“盗号”产生的风险
用户隐私受影响
账户资金受影响
企业投诉和赔付率上升
对抗手段
验证码识别云平台
短信验证码云平台
访问速率控制
秒换代理服务器IP
IP限制策略
用户界面
PC登录界面
WAP
APP
联合登录
防护策略
图形验证码
短信验证码
Resource abuse
Swipe / malicious order
供应商刷单赚取信用
竞争对手互相下单
报复性下单
Control inventory affects normal sales
自动加购物车,自动下单
购物车过期后,重复上一步骤
正常用户不能购买
企业商品无法售出
Malicious call SMS sending interface
封装多个网站短信发送接口为一个API
向指定手机发送短信炸弹,强制对方关机
企业遭受客户投诉导致短信通道被迫关停
Registration check weakly exploited interface
利用简单的注册判断接口,检查全国手机号是否在网站注册
放大这个请求,结果是灾难……为盲目“撞库”提前筛选用户名
Malicious registration generates "vest" users
抢占正常用户资源
影响企业营销效果
产生虚假数据
隐藏的“炸弹”