作者lance70176 (十三夜)
看板Soft_Job
标题Re: [新闻] 钻APP漏洞诈全联!推荐会员200点...2高
时间Fri Oct 16 02:38:31 2020
工作上常会遇到一些工作室来钻这种漏洞
在工作室的术语里面 称这种有办活动的公司叫做白菜
他们的工作就是刷白菜 要跟这些工作室斗智是必要的
以这个案例里面有问题的几个地方感觉是可以注意的
1.电话号码
在台湾电话号码理论上应该是比较难大量取得的
所以应该是 PM 有提出只要电话号码没问题 就可以过关不检查
工程师照规格作的话 不能算工程师的锅
但还是有些网站可以提供免费收简讯, 甚至还有可以谈合作的空间
费用其实也不贵
我随便举两个例子
https://www.yinsiduanxin.com/blog/35.html
http://taiwan-sms.net/page/20
还有其他更详细的我就不提供了
当然如果是简讯验证那块没写好的话, 就是工程师的锅了
那代表全联要嘛外包 要嘛花钱请的工程师或顾问层级太低
2.点数可以转移
做此类型活动, 一般点数是不可转移, 就算转移也是上转下
在控管时候比较可以监控跟控制整条线的情况
通常如果有不限制的点数转移, 安全机制就必须加上
转移就跟洗钱一样 技术好的话其实洗到你很难追查
这次我看是菜鸟等级的 才会轻易被查到
不然跳跳 IP, 弄些假身份, 找其他收钱管道都是很正常的事情
3.安全检查机制
报表式的监测跟检查, 没时间作完整的话, 也可以在半夜直接组 SQL 统计检查
监测每天, 每个帐号, 每个IP 的成长跟排行数据
应该是可以快速看出问题, 即早发现的
这一块通常资深工程师, 可以说服公司处理才对
有点层级的工程师, 即使公司资源不足情况下, 也该用抽查方式, 或是提供 SQL 监控
之前的经验是, 工程师必须了解逻辑并且想的多一点, 最好还有采坑经验
因为用户为了钱, 会无所不用其极的钻你的漏洞
很多你自己的逻辑跟技术问题, 一下就会被攻破
更别说你完全按照规格完成以後, 还是有很多延伸的逻辑问题可以注意
台湾大多数的线上问题都是防君子 还有法律可以协助
真正进阶的攻击者 是不会留下这些尾巴的 所以还是能多加强比较保险
以上几点是目前想到的 大家有想到可以补充讨论
--
最喜欢的一句话是?
世界和平
最尊敬的人是?
德蕾莎修女
请说一句话。
大家都要幸福喔~
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 122.116.32.51 (台湾)
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/Soft_Job/M.1602787116.A.4C4.html
※ 编辑: lance70176 (122.116.32.51 台湾), 10/16/2020 02:50:35
1F:→ asdfghjklasd: 看是找到什麽样的员工跟主管.....不好说XDDD 10/16 04:08
2F:推 rahit: 很多网站都马防君子而已 10/16 04:58
3F:→ rahit: 不过牵涉到钱确实该慎重 10/16 04:58
4F:→ jobintan: 人在台湾还能抓得到,在国外的话就有些难度了,别忘了, 10/16 07:13
5F:→ jobintan: 有些类似这种的都是成员分散在N个国家。 10/16 07:14
6F:推 anandydy529: 这个活动很赶,你先快点做 10/16 09:01
7F:推 kentyeh: 所以像这种以手机为主的程式最好就是把手机号码设为uniq 10/16 09:49
8F:→ kentyeh: ue,然後pk使用surrogate key以提供换门号的需求 10/16 09:49
9F:推 love99067333: 感觉就是想cost down 不尊重专业的下场 10/16 10:13
10F:推 kentyeh: 另外这个案例提供一些经验:最好用国外的简讯代收平台, 10/16 10:26
11F:→ kentyeh: 然後不要集中把点数转给一个人,卖出後再由不同人转点数 10/16 10:26
12F:→ kentyeh: 给买家,至於金流是比较麻烦的,容易要被查到,洗钱成本高, 10/16 10:26
13F:→ kentyeh: 不划算 10/16 10:26
14F:推 innona: 处理金流问题确实麻烦 10/16 11:28
15F:→ innona: 总不能让买家都付你门罗币XD 10/16 11:28
16F:→ y800122155: 他就笨在把点数集中 随便捞一下资料也知道他在乱搞啊 10/16 15:56
17F:→ y800122155: 不然几百个帐号零散的点数转给零散的不同帐号太正常了 10/16 15:57
18F:→ y800122155: 工程师没那个时间仔细作查验 这种工作价值太低 10/16 15:59
19F:→ viper9709: 怎麽讲到最後都是工程师的锅... 10/17 02:00
20F:推 guanting886: 因为检讨被害者优先++ 10/17 02:03
21F:→ guanting886: 不过这种东西要防 就得从一开始的机制做好上限 10/17 02:05
22F:→ guanting886: 其实能加到这麽多也是蛮奇葩的 10/17 02:06
23F:→ guanting886: 有可能是包袱 例如真的就是有大户可以这样玩 10/17 02:07
24F:→ guanting886: 我某个客户的会员消费累计金额都破千万的 看了纪录 10/17 02:07
25F:→ guanting886: 都觉得太神惹 10/17 02:07
26F:→ guanting886: 而且还不是单纯破 是数,且这种人不是一个 10/17 02:11
27F:→ guanting886: 工程师蛮可怜的 遇到这种秀下限的会员or工作室就要想 10/17 02:14
28F:→ guanting886: 办法攻防 10/17 02:14
29F:→ guanting886: 之前也遇过一些会员喜欢拿试用品 就大量注册 客户资 10/17 02:16
30F:→ guanting886: 本粗没在怕 让会员多拿几次 10/17 02:16
31F:→ guanting886: 平均这群人会多拿二三次左右 然後再会有几个人这群 10/17 02:17
32F:→ guanting886: 的极端 10/17 02:17
33F:→ guanting886: 例如:重复拿到超过三四十次的XD 甚至阻挡机制启用 10/17 02:18
34F:→ guanting886: 後还是继续努力不懈 10/17 02:18