Re: [新聞] 鑽APP漏洞詐全聯!推薦會員200點...2高

作者: lance70176 (十三夜)   2020-10-16 02:38:31
工作上常會遇到一些工作室來鑽這種漏洞
在工作室的術語裡面 稱這種有辦活動的公司叫做白菜
他們的工作就是刷白菜 要跟這些工作室鬥智是必要的
以這個案例裡面有問題的幾個地方感覺是可以注意的
1.電話號碼
在台灣電話號碼理論上應該是比較難大量取得的
所以應該是 PM 有提出只要電話號碼沒問題 就可以過關不檢查
工程師照規格作的話 不能算工程師的鍋
但還是有些網站可以提供免費收簡訊, 甚至還有可以談合作的空間
費用其實也不貴
我隨便舉兩個例子
https://www.yinsiduanxin.com/blog/35.html
http://taiwan-sms.net/page/20
還有其他更詳細的我就不提供了
當然如果是簡訊驗證那塊沒寫好的話, 就是工程師的鍋了
那代表全聯要嘛外包 要嘛花錢請的工程師或顧問層級太低
2.點數可以轉移
做此類型活動, 一般點數是不可轉移, 就算轉移也是上轉下
在控管時候比較可以監控跟控制整條線的情況
通常如果有不限制的點數轉移, 安全機制就必須加上
轉移就跟洗錢一樣 技術好的話其實洗到你很難追查
這次我看是菜鳥等級的 才會輕易被查到
不然跳跳 IP, 弄些假身份, 找其他收錢管道都是很正常的事情
3.安全檢查機制
報表式的監測跟檢查, 沒時間作完整的話, 也可以在半夜直接組 SQL 統計檢查
監測每天, 每個帳號, 每個IP 的成長跟排行數據
應該是可以快速看出問題, 即早發現的
這一塊通常資深工程師, 可以說服公司處理才對
有點層級的工程師, 即使公司資源不足情況下, 也該用抽查方式, 或是提供 SQL 監控
之前的經驗是, 工程師必須了解邏輯並且想的多一點, 最好還有採坑經驗
因為用戶為了錢, 會無所不用其極的鑽你的漏洞
很多你自己的邏輯跟技術問題, 一下就會被攻破
更別說你完全按照規格完成以後, 還是有很多延伸的邏輯問題可以注意
台灣大多數的線上問題都是防君子 還有法律可以協助
真正進階的攻擊者 是不會留下這些尾巴的 所以還是能多加強比較保險
以上幾點是目前想到的 大家有想到可以補充討論
作者: asdfghjklasd (好累的大一生活)   2020-10-16 04:08:00
看是找到什麼樣的員工跟主管.....不好說XDDD
作者: rahit (水元素)   2020-10-16 04:58:00
很多網站都馬防君子而已不過牽涉到錢確實該慎重
作者: jobintan (Robin Artemstein)   2020-10-16 07:13:00
人在臺灣還能抓得到,在國外的話就有些難度了,別忘了,有些類似這種的都是成員分散在N個國家。
作者: anandydy529 (AndyAWD)   2020-10-16 09:01:00
這個活動很趕,你先快點做
作者: kentyeh (kent)   2020-10-16 09:49:00
所以像這種以手機為主的程式最好就是把手機號碼設為unique,然後pk使用surrogate key以提供換門號的需求
作者: love99067333 (銅牌東巴)   2020-10-16 10:13:00
感覺就是想cost down 不尊重專業的下場
作者: kentyeh (kent)   2020-10-16 10:26:00
另外這個案例提供一些經驗:最好用國外的簡訊代收平台,然後不要集中把點數轉給一個人,賣出後再由不同人轉點數給買家,至於金流是比較麻煩的,容易要被查到,洗錢成本高,不划算
作者: innona (小過)   2020-10-16 11:28:00
處理金流問題確實麻煩總不能讓買家都付你門羅幣XD
作者: y800122155 (@__@)   2020-10-16 15:56:00
他就笨在把點數集中 隨便撈一下資料也知道他在亂搞啊不然幾百個帳號零散的點數轉給零散的不同帳號太正常了工程師沒那個時間仔細作查驗 這種工作價值太低
作者: viper9709 (阿達)   2020-10-17 02:00:00
怎麼講到最後都是工程師的鍋...
作者: guanting886 (Guanting)   2020-10-17 02:03:00
因為檢討被害者優先++不過這種東西要防 就得從一開始的機制做好上限其實能加到這麼多也是蠻奇葩的有可能是包袱 例如真的就是有大戶可以這樣玩我某個客戶的會員消費累計金額都破千萬的 看了紀錄都覺得太神惹而且還不是單純破 是數,且這種人不是一個工程師蠻可憐的 遇到這種秀下限的會員or工作室就要想辦法攻防之前也遇過一些會員喜歡拿試用品 就大量註冊 客戶資本粗沒在怕 讓會員多拿幾次平均這群人會多拿二三次左右 然後再會有幾個人這群的極端例如:重複拿到超過三四十次的XD 甚至阻擋機制啟用後還是繼續努力不懈

Links booklink

Contact Us: admin [ a t ] ucptt.com