前两天刷手机看到极乐旅人广告弹窗,好奇点进去想注册个号玩玩。结果刚填完手机号就犯嘀咕:这破网站连个安全锁图标都没有,该不会分分钟把我账号卖了?干脆自个儿撸袖子测它一把。
从头开始扒防护措施
先故意用弱智密码试水。注册时输个“123456”,结果系统当场弹红字骂我:“密码强度太差,请包含字母+数字+符号”。行算你过了第一关。
小编温馨提醒:本站只提供游戏介绍,下载游戏推荐89游戏,89游戏提供真人恋爱/绅士游戏/3A单机游戏大全,点我立即前往》》》绅士游戏下载专区
注册完赶紧看二次验证功能。点进安全设置差点笑出声——这玩意儿居然藏在账户设置第三个折叠菜单里,跟捉迷藏似的。打开短信验证码开关,故意输错三次。第四次系统直接给我锁账号半小时,手机还收到条警告短信,这点倒是意外靠谱。
实测盗号防御机制
周三晚上搞了个骚操作:用家里电脑登录后,故意用公司笔记本同时登录。刚输完密码就跳出个异地登录警告,要求验证手机尾号。转头把账号密码发给隔壁老王让他试,他那边刚点登录,我这儿微信通知就哐哐震起来。
- 设备绑定功能形同虚设,PC端换浏览器就要重新验证
- 改密流程必须手机+邮箱双重认证
- 但密保问题设置后居然能直接查看答案(大离谱!)
撞上真家伙
本来以为测试完就完事了,结果昨天凌晨两点手机突然收到验证码轰炸。吓得我滚起来查登录记录,好家伙真有海南的陌生设备尝试登录。关键这孙子连续失败七次后,系统自动把他的IP塞进黑名单了。爬起来改密码时发现个坑:特殊符号居然不让用@和#,憋出个带$的密码才通过。
今天中午跟做网安的发小吃饭聊这事,他筷子一撂就开喷:“现在多少小作坊的短信验证接口根本不做鉴权!”。回来立刻拿我账号做实验,在别家网站重复使用相同密码。过两天再看——果然多了三条越南的异常登录记录,得,密码八成被撞库了。
血泪总结
这网站安全措施就像打补丁的破棉袄:该缝的地方露着线头(比如那个脑残的密保问题设计),要害处倒是捆得死紧。给大家几个保命土招:
- 密码千万要独一无二,别学我用$代替@
- 二次验证给我焊死在手机上
- 看见异地登录通知别犹豫立刻改密码
- 密保问题填假答案(我写的“母亲姓氏”是灭霸)
测试完第三天,我那个用初始密码的测试号还真被盗了。骗子拿它群发博彩广告,气得客服连夜封号——你看,再牛逼的防护都架不住用户自己作死!
