AMZ123跨境卖家导航
拖动LOGO到书签栏,立即收藏AMZ123
首页跨境头条文章详情

触宝安全信息讲堂——网络攻击之暴力破解

6075
2018-07-07 17:06
2018-07-07 17:06
6075

网络数据安全之

暴力破解



提到网络安全,一般用户会觉得离自己很遥远。然而最近不少知名产品都曝出了安全丑闻,例如“微信支付被曝安全漏洞:可随便买买买”、“A站近千万条用户数据外泄”、”390款监控摄像头受多个漏洞影响,个人隐私一览无遗”等等。加上之前引起轰动的“全球勒索病毒”、“IOS安全漏洞”、“美电信巨头Frontier曝密码重置漏洞”等等,网络安全一时引起热议。


触宝作为一家创新型移动互联网公司。旗下的产品包括触宝输入法触宝电话以及一系列全球生态产品。触宝的产品每时每刻都在服务于全球数以亿计的用户。其中,仅触宝输入法这一款产品的日活跃用户就超过1.1亿。目前支持超过110种语言,覆盖240多个国家与地区。


如何保护用户的信息数据、保障服务的安全稳定,一直是触宝安全工程师的重要课题。在维护公司的网络安全问题上,我们总结了一系列的经验。一方面期望向大家科普网络安全中的主要攻击手段,一方面介绍下在遇到这些攻击时可以采取的防御措施。

触宝大数据

本次给大家介绍的是:在网络安全中最简单粗暴但却最直效的攻击手法

——暴力破解以及如何防御它


暴力破解

顾名思义是通过某种简单直接的特殊手法来快速达到某种特定目标,如获取用户的用户名、密码、验证码、信息等等。暴力破解的原理就是穷举法,即当确定答案的大致范围或者部分条件的时候,列出所有的可能性结果,逐一验证。


举例来说,有一个3位数字密码的行李箱。想要打开行李箱,最简单的方法就是依次尝试从000~999之间的3位数字,总有一个是正确密码。

暴力破解的前提是穷举的所有可能性中至少有一个符合问题的答案。


在网络安全中,暴力破解无时无刻不在威胁着各个系统、服务器、数据库等。


                              举个简单的例子:



场景一

1

某电商网站的账号登录时需要填入用户名、密码。某些用户无意中泄露了自己的用户名。恶意用户XXX进入该网站注册页面,进行账号注册时,发现该网站提示密码必须为不小于6位、不大于8位的数字且没有对密码尝试次数做任何限制。

于是,恶意用户开始进行以下暴力破解操作流程。

1

恶意用户通过密码规则要求制作了一份破解“字典”,“字典”里包含了所有符合该网站密码规则的密码组合。

2

恶意用户使用这份“字典” 针对泄露的用户名进行暴力破解尝试,即针对泄露的用户名,遍历输入字典进行登录尝试。

3

由于网站本身没有登陆限制,在连续跑了N小时的暴力破解程序后,成功登陆该用户的账户,并且窃取自己需要的资料。

上面例子可以让我们知道暴力破解的可怕性和危害性。然而时至今日有许许多多企业仍然没有意识到这种问题,产品在功能逻辑设计时并没有考虑安全,每天发生的暴力破解入侵事件仍然数不胜数。


我们再回头看文章开头提到的“美电信巨头Frontier曝密码重置漏洞”事件:

今年6月,美电信巨头Frontier Communications(以下简称Frontier)被爆出严重的用户密码重置漏洞。Frontier作为一家电信巨头,其用户密码管控做的非常严格,然而却在用户重置密码的这部操作中留下了一个很小的逻辑漏洞,最终导致了安全问题,常规情况下,用户进行密码重置的操作为:

   STEP1

在已知用户名和用户注册邮箱的情况,用户发送重置密码请求

   STEP2

通过重置密码接口,后台系统会向该用户的注册邮箱发送一个验证码。

   STEP3

用户收到密码重置的邮件后,在Frontier Communications网站的重置密码的页面输入邮件中的验证码。

   STEP4

通过验证,填入新密码就可以重置当前账户的密码了。

黑客又是怎么做的呢?黑客通过正常渠道重置自己的密码,查看邮件验证码规则,发现为6位纯数字。通过测试发现该系统重置验证码处可以无限认证,于是黑客通过暴力破解,无限向该系统发送6位数字进行尝试,直到验证成功,成功重置了其他的用户账户。


通过上面两个例子,我们可以举一反三出第三个例子。实际上这种情况在很多公司目前都还存在:



场景二

2


在公司内网环境中,公司的OA系统、邮件系统会自动给新入职的员工生成账号、密码。用户需要首次登陆后自行进行修改密码。


OA系统发放给员工的初始账号为员工的姓名拼音,密码默认都是123456。


邮件系统发放给员工的初始账号为员工的姓名拼音,默认发放密码为company013101、company020301…

可以看出OA系统可以通过暴力破解遍历用户名,密码为固定的123456,就可以登录该系统没有改密码(未及时修改、懒得改、习惯123456)的员工账号。


而邮件系统使用了公司名+日期+序号作为生成默认密码的规则,同样可以针对性的进行暴力破解来碰撞某员工的账户

通过以上几个案例,相信大家对暴力破解已经有了一定的了解,那么如何阻止恶意的暴力破解,提高系统或服务的安全性呢?

触宝的安全工程师为大家总结了常用的几种方法,能够有效阻挡初级的暴力破解手段

    方法一

登陆时增加验证码。现在的大型网站登录时除了输入用户名、密码,还会要求选择图片中的验证码。


杰出模范火车票登录网站12306、谷歌

12306的图片验证码环节让暴力破解的黑客们头疼不已。

    方法二

增加密码复杂度。现在的密码要求一般都是要求数字、字母、符号的组合,且密码长度一般都不低于6位。


杰出模范Apple

    方法三

增加同一用户在一定时间登陆尝试的次数。例如用户输入错误密码超过一定次数后,规定时间内将不能再尝试。


杰出模范: 淘宝、京东

    方法四

登陆方式复杂化。现在国内常用的就是登陆时需要接收手机短信验证码进行再次验证。


杰出模范: 各大手机银行APP

    方法五

服务器日志检测警报。设置服务器日志异常告警机制。及时检测是否存在暴力破解操作。


杰出模范触宝

好啦,今天的网络安全科普小课堂到这里就已经结束了。

免责声明
本文链接:
本文经作者许可发布在AMZ123跨境头条,如有疑问,请联系客服。
最新热门报告作者标签
Ozon计划26年新增15个物流中心,投资超300亿卢布
俄罗斯电商平台Ozon表示,2026年计划在俄罗斯新增15个物流综合设施,其中包括大型全流程履约中心以及用于存储和处理大件商品的物流设施。
26年巴西情人节消费达220亿雷亚尔,服饰美妆成热门品类
2026年巴西情人节(Dia dos Namorados)消费超过220亿雷亚尔,服装、化妆品、香水和鞋类成为最受关注的消费品类。
每15秒售出一件,TikTok Shop英国宠物品类快速增长
TikTok Shop公布数据显示,2025年平台宠物护理品类销售额同比增长超过60%,宠物用品正在成为平台增长较快的消费类别之一。在英国市场,TikTok Shop平均每15秒售出一件宠物产品,宠物食品相关内容也持续增加,其中猫粮相关帖子数量超过82.5万条,狗粮相关帖子数量超过57.2万条。
26年1-4月美国玩具市场销售额增长13%,女性成为主力
2026年1月至4月期间,美国玩具行业超过一半的增长来自女性消费者。同时,18岁及以上成年消费者贡献了整个玩具行业35%的增长,成人消费正在成为推动市场扩张的重要因素。
AMZ123会员专享丨7月第2周资讯汇总
亚马逊亚马逊宣布与MyFlexBox达成战略合作,其德国所有智能快递柜将接入亚马逊配送体系,并成为欧洲首个向亚马逊开放的大规模中立柜机网络。用户在结账时可选24/7自提点,提升取件灵活性。合作旨在共建共享末端基础设施,覆盖零售点、加油站等场景,减少重复配送、提高效率。7月6日曝光的官方文件显示,亚马逊在华盛顿州新一轮裁撤57个岗位,涉及多条业务线,其中包含总监、高级经理等中高层管理岗。7月7日,亚马逊宣布,亚马逊全球智能枢纽仓正式落地华东地区,上海、宁波双仓正式启用。这是继GWD深圳首仓全面运营后,亚马逊在完善跨境物流网络上的又一关键布局。
TikTok美区推行三级架构保证金,风险保证金最高$10000
重磅!TikTok美区新增保证金,卖家速查后台
紧急调整!美国CPSC法规给卖家暂时“松绑”了
在跨境电商迈入升级赛道的当下,合规化浪潮正以迅雷不及掩耳之势席卷整个行业。一系列政策法规如同多米诺骨牌般接连落地,逐渐渗透到跨境电商产品质检、税务申报、物流清关等流程。其中在近期讨论热度最高的,莫过于美国最新生效的CPSC法规。进入7月以来,CPSC电子申报(eFiling)新规在业内被高频提及。据业内消息,按原定计划,自7月8日起,美国消费品安全委员会(CPSC)将联合美国海关与边境保护局(CBP)全面施行电子申报(eFiling)新规,所有受CPSC监管的进口消费品需在清关前完成GCC/CPC合格证书电子申报,未按要求申报可能导致清关延误或货件被拒、退运。
TikTok Shop美区保证金大改!金额不再统一,速查后台应缴额!
告别“多类目叠加”,卖家该如何应对?
26年亚马逊头部卖家格局生变,中国卖家占比升至55.9%
截至2026年7月,中国卖家在亚马逊美国站前10000名卖家占比已提升至55.9%,美国卖家则降至40.5%。仅过去12个月,中国卖家的份额就提升了3.8%。
紧急调整!美国CPSC法规给卖家暂时“松绑”了
在跨境电商迈入升级赛道的当下,合规化浪潮正以迅雷不及掩耳之势席卷整个行业。一系列政策法规如同多米诺骨牌般接连落地,逐渐渗透到跨境电商产品质检、税务申报、物流清关等流程。其中在近期讨论热度最高的,莫过于美国最新生效的CPSC法规。进入7月以来,CPSC电子申报(eFiling)新规在业内被高频提及。据业内消息,按原定计划,自7月8日起,美国消费品安全委员会(CPSC)将联合美国海关与边境保护局(CBP)全面施行电子申报(eFiling)新规,所有受CPSC监管的进口消费品需在清关前完成GCC/CPC合格证书电子申报,未按要求申报可能导致清关延误或货件被拒、退运。
AMZ123会员专享丨7月第2周资讯汇总
亚马逊亚马逊宣布与MyFlexBox达成战略合作,其德国所有智能快递柜将接入亚马逊配送体系,并成为欧洲首个向亚马逊开放的大规模中立柜机网络。用户在结账时可选24/7自提点,提升取件灵活性。合作旨在共建共享末端基础设施,覆盖零售点、加油站等场景,减少重复配送、提高效率。7月6日曝光的官方文件显示,亚马逊在华盛顿州新一轮裁撤57个岗位,涉及多条业务线,其中包含总监、高级经理等中高层管理岗。7月7日,亚马逊宣布,亚马逊全球智能枢纽仓正式落地华东地区,上海、宁波双仓正式启用。这是继GWD深圳首仓全面运营后,亚马逊在完善跨境物流网络上的又一关键布局。
每15秒售出一件,TikTok Shop英国宠物品类快速增长
TikTok Shop公布数据显示,2025年平台宠物护理品类销售额同比增长超过60%,宠物用品正在成为平台增长较快的消费类别之一。在英国市场,TikTok Shop平均每15秒售出一件宠物产品,宠物食品相关内容也持续增加,其中猫粮相关帖子数量超过82.5万条,狗粮相关帖子数量超过57.2万条。
26年1-4月美国玩具市场销售额增长13%,女性成为主力
2026年1月至4月期间,美国玩具行业超过一半的增长来自女性消费者。同时,18岁及以上成年消费者贡献了整个玩具行业35%的增长,成人消费正在成为推动市场扩张的重要因素。
Ozon计划26年新增15个物流中心,投资超300亿卢布
俄罗斯电商平台Ozon表示,2026年计划在俄罗斯新增15个物流综合设施,其中包括大型全流程履约中心以及用于存储和处理大件商品的物流设施。
TikTok美区推行三级架构保证金,风险保证金最高$10000
重磅!TikTok美区新增保证金,卖家速查后台
26年巴西情人节消费达220亿雷亚尔,服饰美妆成热门品类
2026年巴西情人节(Dia dos Namorados)消费超过220亿雷亚尔,服装、化妆品、香水和鞋类成为最受关注的消费品类。
《全球宠物行业趋势与中国增长机遇报告》PDF下载
宠物行业全年的销售额为660亿美元与去年同期相比增长了2.1%。
《TikTok Shop 2024-2025 西班牙站点报告》PDF下载
在全球社交电商高速发展的时代浪潮中,TikTok已然崛起为品牌与消费者深度互动的重要阵地。TikTok不仅重塑了用户的消费习惯,更开创了"发现式购物"的新模式,为品牌营销带来了前所未有的机遇与挑战。
《2026年全球电商行业趋势洞察报告》PDF下载
报告深度解读 2026 年全球电商行业发展趋势,全面剖析移动端与网页端市场格局、各区域网站流量增长动态,以及综合电商、服饰电商、美妆电商等核心赛道的细分趋势与头部玩家表现。报告同步收录标杆案例,拆解Nykaa、0live Young、UNIQLO 等区域头部电商的业务亮点、广告策略与用户画像,为品牌制定精准市场策略提供决策参考。
《2026年电子元器件行业趋势与策略解读》PDF下载
据世界半导体贸易统计组织(WSTS)预测报告显示,2025年全球半导体营收将同比增长22.5%至7720亿美元,2026年将再度增长26.3%至9750亿美元,逼近1万亿美元大关;
《2025-Q1亚马逊沃尔玛全球电商CPC数据报告》PDF下载
我们整合了Pacvue和Helium 10的专有数据库,全方位展示行业内范围最广的电商数据。这份报告包括数万家大中小型规模,不同品类广告主的数据,以及几个主要品类的详细分析。
《男装休闲服装品类2026秋冬趋势报告》PDF现在
服装买家高度关注市场趋势,具有高频复购的特点,对趋势品的诉求相对更高,对于新品至少提前2-3个月进行采购且主要通过社媒获取服装趋势;
《美客多趋势报告-智利站》PDF下载
在当今的消费环境中,每一次购物都成为消费者身份的体现,反映出消费者的兴趣、欲望和价值观。这些选择受到时代和文化的影响,不仅展现了消费者的偏好,也塑造了消费者与市场的关系。
《拉美八国经贸与投资概览》PDF下载
中国与古巴1960年建立外交关系,正式开启了中国与拉美地区合作的新纪元。截至目前,中国已与26个拉美和加勒比国家建立外交关系,并同其中22个国家签署了共建“一带一路”合作文件,关系不断深化。
跨境学院
跨境电商大小事,尽在跨境学院。
亚马逊全球开店
亚马逊全球开店官方公众号,致力于为中国跨境卖家提供最新,最全亚马逊全球开店资讯,运营干货分享及开店支持。
侃侃跨境那些事儿
不侃废话,挣钱要紧!
亚马逊资讯
AMZ123旗下亚马逊资讯发布平台,专注亚马逊全球热点事件,为广大卖家提供亚马逊最新动态、最热新闻。
北美电商资讯
AMZ123旗下北美跨境电商新闻栏目,专注北美跨境电商热点资讯,为广大卖家提供北美跨境电商最新动态、最热新闻。
AMZ123卖家导航
这个人很懒,还没有自我介绍
跨境平台资讯
AMZ123旗下跨境电商平台新闻栏目,专注全球跨境电商平台热点事件,为广大卖家提供跨境电商平台最新动态、最热新闻。
亚马逊公告
AMZ123旗下亚马逊公告发布平台,实时更新亚马逊最新公告,致力打造最及时和有态度的亚马逊公告栏目!
首页
跨境头条
文章详情
咨询
官方微信群
官方客服

扫码添加,立即咨询

加群
官方微信群
官方微信群

扫码添加,拉你进群

更多
订阅号服务号跨境资讯
二维码

为你推送和解读最前沿、最有料的跨境电商资讯

二维码

90% 亚马逊卖家都在关注的微信公众号

二维码

精选今日跨境电商头条资讯

回顶部