业务安全—垃圾注册对抗实例

阅读量    6837 |

分享到: QQ空间 新浪微博 微信 QQ facebook twitter

 

垃圾注册概述

注册是所有应用或网站的第一道大门,一般衡量一个APP或一个门户网站的体量,首先就是用户量级、活跃量级。因此,注册用户量成为了各个业务开展时的重要指标。垃圾注册一般指的是通过脚本或自动化工具实现自动化批量注册的注册行为,非真实用户本人注册。真人注册和垃圾注册区别明显,但当黑产具备一定的反风控意识时对抗难度较大。

垃圾注册的存在占用了大量业务资源,且完全成了业务部门用户信息库的脏数据,从另一方面看,完完全全是一种虚假流量。那为什么还是这么大量存在,总结下来有两方面因素:业务扩展需要和黑产攻击。

无利不起早,黑产或者第三方花了很大力气做了这么多垃圾注册,最终自然要落实到利益头上。一切辣鸡注册的获利手段有如下几种:流量变现、人头变现、羊毛价值、赚号价值。

流量变现:点击量、浏览量、粉丝量、转发评论量

人头变现:新用户奖励、渠道结算奖励

羊毛价值:奖品变现:话费、积分、视频券等

账号价值:新号出售:诈骗、博彩 养号出售

 

攻击手段——脚本攻击

一般垃圾注册都要实现短时间大量注册,已达到累计更多账号的目的。攻击者一般分为两类:第一种为有技术能力的黑产,一般为较专业的团队,可实现编写定制化脚本进行攻击,另一种为技术能力较差的小作坊类黑产,一般使用各种工具代替脚本进行攻击,二者各有利弊。

一般在实施脚本攻击前需要做许多准备工作,总结为如下几个方面:攻击页面分析、接口参数分析、构造请求。

 

接口参数分析:抓包或F12、参数分析、参数获取逻辑

1、模拟注册

2、抓包分析注册页接口以及请求参数

3、一般注册页会带token和cookie或者session,需要获取合法的信息以供后端校验

4、header拼接:核心参数如Token、Cookie、useragent、language、X-Requested-With等等

5、请求图形验证码

 

构造请求:模拟参数、发起请求

构造一次请求

1、获取手机验证码url

2、获取图形验证码

3、构造post请求

4、接收返回otpp

构造二次请求

1、上送验证码

2、上送图形验证码

以上即可完成一次注册,自动化注册还需解决:代理IP,更高阶的:浏览器环境信息。如上,总结下来,脚本攻击的流程,获取注册页url,获取接口参数、获取关键节点url,如验证码获取,otp获取等。

 

攻击手段——工具攻击

脚本攻击虽然成本低,但是某种程度上是比较容易被风控识别并拦截的,其次,对黑产的专业水平要求较高,只有行程规模的黑产才会具备这种攻击能力。因此,现在越来越多的攻击都能使用拟人化的工具攻击,虽然效率较低,但是入门简单,且风控拦截的概率相对也低。

资源类工具:接码类APP、代理IP类APP

设备类工具:模拟器、多开、改机软件

自动化类工具:录屏软件、按键模拟类软件

 

识别方法

对黑产虚假注册攻击的手段进行了详细剖析后,防御方就可以对症下药了。首先,最基本的就是实现一些资源及软件工具的识别,基于环境采集或者外部数据对接实现。

 

对抗方法

注册层面进行实时对抗的必要性不大,一般都采用风险后置的方式进行风险处置,以提高黑产攻击成本。

以上内容选取自安全牛课堂独家课程《业务安全》,点击“https://www.aqniukt.com/goods/show/770?targetId=13737&preview=0”可查看完整课程。

 

点击下面的连接,查看历史文章

黑产以及一般业务安全的应对思路

浅谈企业数据安全治理

云安全威胁和责任

对某网站被挂黑广告源头分析

内网渗透横向移动—NBNS和LLMNR投毒

给你好看——应急响应从懵懂到入门(视频版)

企业安全建设需要我们做什么?(视频版)

反杀毒手法中的特征码和无特征码反杀

网络攻防演练之蓝队(防守方)

分享到: QQ空间 新浪微博 微信 QQ facebook twitter
|推荐阅读
|发表评论
|评论列表
加载更多