设备环境:(虚拟机、系统 V1.1.19)
BUG现象:(我通过浏览器访问登录页)
出现频率:(必现)
联系方式:(688群-伍子喬)
建议内容:
1、我要说明本次更新V1.1.19存在的问题,要开启双重认证,目前的设定是“用户自愿去点击 个人设置→账号→双重验证→下载微软验证app→扫码添加验证码→输入QQ邮箱→发现输入邮箱后要求先添加发件邮箱→XXX? ”,到这里第8步都还远未完成,这个双重验证模块目前来看是失败的。
2、黑客利用旧“三方平台密码”做碰撞攻击,这项攻击依赖于无验证码、弱验证码。我看登录页迄今仍无验证码,这是不合理的,这是无可辩驳的错误。
3、当前版本建议是:登录页添加验证码(抵御黑客发起的Burpsuite批量账号爆破攻击)
4、后续版本建议是:登录页添加一个自定义“安全码”。(这也是“双重验证”,不依赖公网,比第1点简单易操作。)
5、接受白帽子的漏洞报送,按漏洞低、中、高给予不超过1000元奖励,授予表扬。(白帽子更在意的是荣誉表扬!)
6、安全防护预知:在公网部署不少于3台飞牛OS蜜罐,实时捕捉新旧攻击行为与漏洞利用脚本。①可了解黑客最新的攻击动向、漏洞点位;②可为抓捕恶意攻击者提供线索、证据。
