趁着金九銀十還沒來,今天研究個話題,你爲什麼搶不到房?
很多人都會說,炒房團太兇,開發商心機,手太黑...... 這些的確有一定影響,但是並不是關鍵!今天要爆料的是下面這個:
隨着互聯網發展,房地產開發商也從傳統的售樓處轉戰網絡。線下黃牛黨嗅着錢味,也在互聯網上安營紮寨,準備架炮攻城。然後,萬科就找到極驗。作爲稀缺資源代表,搶購樓盤利潤更高!萬科的樓盤原本就非常難搶,加上黑產介入,普通人基本沒戲。
萬科作爲行業大佬,開發“e選房”項目,創網絡搶房先河。但是,極驗接入做安全項目測試發現,由於缺乏對網絡黑產認知,“e選房”當前對於機器流量所做的防禦,幾乎等於零。直接造成,大量用戶根本沒機會選房。下面,我們就模擬演示下如果通過程序進行搶房:
一、登錄註冊,傳統圖片驗證碼破解
萬科 e 選房前期系統存在“重複投遞”的漏洞,但是即使沒有這種“重複投遞” 的漏洞,加上下面的圖片驗證碼,也並沒有對安全有太大的改善。於是,極驗進行了下面的安全測試:
1. 原始驗證圖片:
2. 畸形矯正:
3.字符分割和二值化:
4.使用深度學習進行訓練,10 分鐘就能出結果:
5.然後對 150 張新下載的圖片做識別測試:
我們可以發現,圖片驗證碼識別率可以達到 100%!傳統圖片驗證碼不具備任何的防禦能力。直接結果就是,機器批量惡意註冊,垃圾註冊以及可能存在的通過數據字典庫進行惡意撞庫攻擊、暴力破解引起的用戶信息泄露!通過這些操作,0秒搶房不是夢!
二、模擬機器搶房,0秒搶房
1.通過以上操作,使用賬號信息獲取舊金山區域的房源-->分類樓層-->可拍賣的房號, 每個手機號會隨機挑選一個房號去搶房接口。
2.重複選房操作!
詳細過程不在細表,結果就是,通過程序即可實現批量登錄選房操作。
三、成功部署極驗“行爲驗證”後:
1. 通過多次模擬滑動軌跡,均不能通過驗證,無法取得 token,難以模擬登陸和進 行後續的搶房操作。詳見下圖展示:
2. 我們到某次人工驗證成功的極驗“行爲驗證”的憑證,再去批量登錄檢測:
3. 結果一次也用不了,依然無法通過驗證登錄:
4. 我們又手工複製了網頁登陸成功狀態下的 cookie 令牌用來登陸了單個賬號,而在一鍵搶房環節,依舊會遇到驗證碼,進一步阻止了自動化搶房操作:
注:以上彈出的圖文點選驗證碼是部署極驗產品後人工智能感知引擎感知到攻擊風險,自動彈出的第二層驗證模式,以保障在受到黑產攻擊的情況下用戶能夠公平搶房,阻止黑產進一步登錄搶房。
通過測試,極驗“行爲驗證”在關鍵環節都對系統形成了良好的保護,使得被保護環節都無法使用程序做自動化,恢復了相對公平的購房環境。金九銀十,搶房之前,大家可以看下開發商是否使用了“行爲驗證”,如果還是圖片驗證碼,我們還是換別家看看吧。
全球 22 萬家企業網站&APP的選擇
每日提供超過 7 億次的安全防護
