敦煌網(wǎng)注冊/登錄安全分析報(bào)告
前言
由于網(wǎng)站注冊入口容易被黑客攻擊，存在如下安全問題：

1. 暴力破解密碼，造成用戶信息泄露
2. 短信盜刷的安全問題，影響業(yè)務(wù)及導(dǎo)致用戶投訴
3. 帶來經(jīng)濟(jì)損失，尤其是后付費(fèi)客戶，風(fēng)險(xiǎn)巨大，造成虧損無底洞
   

所以大部分網(wǎng)站及App 都采取圖形驗(yàn)證碼或滑動驗(yàn)證碼等交互解決方案， 但在機(jī)器學(xué)習(xí)能力提高的當(dāng)下，連百度這樣的大廠都遭受攻擊導(dǎo)致點(diǎn)名批評， 圖形驗(yàn)證及交互驗(yàn)證方式的安全性到底如何？ 請看具體分析

一、 敦煌網(wǎng)會員注冊入口
簡介：敦煌網(wǎng)由王樹彤女士于2004年創(chuàng)立，是國內(nèi)首個(gè)為中小企業(yè)提供B2B跨境線上交易服務(wù)的網(wǎng)站，現(xiàn)在已經(jīng)成長為美國市場最大的中國跨境B2B電商平臺。

二、 安全性分析報(bào)告：
采用極驗(yàn)的V4版本，容易被模擬器繞過甚至逆向后暴力攻擊，滑動拼圖識別率在 95% 以上。

三、 測試方法：
前端界面分析，版本號為4.0，這就好辦了， 網(wǎng)上有大量現(xiàn)成的逆向文章及視頻參考，不過我們這次不用逆向， 只是采用模擬器的方式，關(guān)鍵點(diǎn)主要模擬器交互、距離識別和軌道算法3部分
極驗(yàn)4代滑塊驗(yàn)證碼破解（補(bǔ)環(huán)境直接強(qiáng)暴式拿下）
https://blog.csdn.net/qq_41866988/article/details/132020587

1. 模擬器交互部分

2. 距離識別

3. 軌道生成及移動算法

四丶結(jié)語

敦煌網(wǎng)作為全球領(lǐng)先的在線外貿(mào)交易平臺， 采用的是通俗的滑動驗(yàn)證產(chǎn)品， 在一定程度上提高了用戶體驗(yàn)， 不過隨著圖形識別技術(shù)及機(jī)器學(xué)習(xí)能力的提升，所以在網(wǎng)上破解的文章和教學(xué)視頻也是大量存在，并且經(jīng)過驗(yàn)證的確有效， 所以除了滑動驗(yàn)證方式， 花樣百出的產(chǎn)品層出不窮，但本質(zhì)就是犧牲用戶體驗(yàn)來提高安全。

很多人在短信服務(wù)剛開始建設(shè)的階段，可能不會在安全方面考慮太多，理由有很多。
比如：“ 需求這么趕，當(dāng)然是先實(shí)現(xiàn)功能啊 ”，“ 業(yè)務(wù)量很小啦，系統(tǒng)就這么點(diǎn)人用，不怕的 ” ， “ 我們怎么會被盯上呢，不可能的 ”等等。

有一些理由雖然有道理，但是該來的總是會來的。前期欠下來的債，總是要還的。越早還，問題就越小，損失就越低。

所以大家在安全方面還是要重視。（血淋淋的栗子！）#安全短信#

戳這里→康康你手機(jī)號在過多少網(wǎng)站注冊過！！！

谷歌圖形驗(yàn)證碼在AI 面前已經(jīng)形同虛設(shè)，所以谷歌宣布退出驗(yàn)證碼服務(wù)， 那么當(dāng)所有的圖形驗(yàn)證碼都被破解時(shí)，大家又該如何做好防御呢？

>>相關(guān)閱讀
《騰訊防水墻滑動拼圖驗(yàn)證碼》
《百度旋轉(zhuǎn)圖片驗(yàn)證碼》
《網(wǎng)易易盾滑動拼圖驗(yàn)證碼》
《頂象區(qū)域面積點(diǎn)選驗(yàn)證碼》
《頂象滑動拼圖驗(yàn)證碼》
《極驗(yàn)滑動拼圖驗(yàn)證碼》
《使用深度學(xué)習(xí)來破解 captcha 驗(yàn)證碼》
《驗(yàn)證碼終結(jié)者-基于CNN+BLSTM+CTC的訓(xùn)練部署套件》