破解 6 位數驗證碼!! 駭客如何入侵你的帳號? 漏洞技巧解析! | 在地上滾的工程師 Nic
ฝัง
- เผยแพร่เมื่อ 3 ต.ค. 2024
- 現在的多數服務中都存在著 6 位數驗證碼,不管是簡訊、Email 又或是二步驗證
這些看似方便又好像安全的設計,你知道它也存在著攻破的可能嗎?
這支影片來跟大家聊聊,一個有趣的突破手法!
能夠在一定的時間內突破 6 位數驗證碼,登入你的帳號!
怎麼做到的?一起來看看吧!
=========相關資訊=========
駭客破解 IG 驗證碼的文章:
漏洞過程說明影片: • How I Could Have Hacke...
=========影片補充=========
該名駭客與蘋果的交涉
原始文章: thezerohack.co...
2020/07 回報
2020/09 說會修復
接下來 5 個月都沒回覆
2021/04 發現漏洞修補完畢
接下來蘋果說你提交的漏洞不允許接管大部分的帳號
該名駭客發現蘋果官方的忘記密碼文案已被修改
蘋果最後要給 18000 USD 做為獎賞,但駭客指出蘋果官方說明接管帳號應該是 100,000 USD,從鎖定中的設備提取敏感資訊是 250,000 USD
最終駭客不領這個 18000 USD 獎賞,覺得等很久又被忽悠 XD
該漏洞在多數網站已被修補完畢,甚至是更改相關流程
IG 從手機恢復的功能已經改成用加密網址了
喜歡影片的話!可以幫忙點個喜歡以及分享、訂閱唷!😘
在地上滾的工程師超白爛 T-shirt 第二彈
✨ 開會專家 Tshirt 衣服購買處 ✨
價格: 590 NTD 含寶石貼紙一張
連結: shopee.tw/prod...
━━━━━━━━━━━━━━━━
🙆♂️ 成為頻道會員的好處❓
✔ 影片、直播留言優先回覆
✔ 不定時在會員社群分享私有資源(學習資源、優惠卷等)
✔ 未來任何活動優先報名通道
一個月最低只要 45 元,立即加入 👉 / @niclin
━━━━━━━━━━━━━━━━
🎬 觀看我的生活廢片頻道: bit.ly/2Ldfp1B
⭐ instagram (生活日常): / niclin_tw
📖 Facebook (資訊分享): / niclin.dev
👨💻 Blog (技術筆記): blog.niclin.tw
📁 Linkedin (個人履歷): / nic-lin
🛒 蝦皮賣場:
🐱 Github: github.com/niclin
🎧 Podcast: anchor.fm/niclin
━━━━━━━━━━━━━━━━
✉️ 合作邀約信箱: contact@niclin.tw
#zeroday #hack #駭客
關於後續更多我有放在資訊欄裡了!!
如果喜歡聽這類型經驗分享也可以留言告訴我,我還有很多能分享 😆
以下是工商時間
在地上滾的工程師超白爛 T-shirt 第二彈
✨ 開會專家 Tshirt 衣服購買處 ✨
價格: 590 NTD 含寶石貼紙一張
連結: shopee.tw/product/15975226/16477002844/
你也是有錢又帥的youtuber
我被ig鎖住3天了,真的寫信去官網申訴,竟然說不是被停用,還是使用中?
我沒辦法用
很讚的內容,對於手法說明得很清楚。👍
一次針對單一目標發出大量連線請求與憑證確認,很容易管理者被發現,如果真有駭客利用這手法去攻擊,很有可能是為了隱匿他真正攻擊目標,作為一種聲東擊西的手段。
改進的方法可以透過提高攻擊者的門檻與麻煩度下手,最簡單的方式就是在輸入驗證碼的頁面時,多一個機器人驗證或者圖形驗證碼(Captcha)。
這種具體講解資安技術的影片真的可以越多越好 真的很讚👍
對於科技的議題一直都非常有興趣,覺得nic可以用很白話的方式讓我了解到駭客攻擊的模式覺得也學到了一課!希望未來也能有這樣子類型的影片
所以因為上次被駭進去後,我直接關掉雲端連結。第一次看你的節目,我訂閱了。希望多做類似節目防止駭客與詐騙傷害我們。
没法的,如果在中国大陆估计早就进去了,如果要为安全着想,那些公司的软件能避多远就避多远吧。
新觀眾被這部影片圈粉
nic有這麼好的底子和背景
希望以後可以針對個人專業上
用深入淺出的方式
拍影片給我們瞭解
畢竟YT上娛樂型影片很吃香 但也競爭
相反專業類型的影片其實也有一定受眾
像是律師、醫生、物理治療師
都有高人氣的訂閱頻道
nic可以成為台灣軟體工程師的YT第一人😆
至少我自己對這類主題很有興趣
最近剛好有要開發類似的系統,剛好可以學以致用重新檢視一下環節,今天又上了一課,謝謝Nic
不客氣!! 看到你的留言才讓我更有動力 XD
其实设置验证码验证次数即可,没验证一次,验证码立即失效即可
我在看影片之前大概就想到兩個可能 換ip跟線程,還真得是這兩個,因為 異步 或者 線程 ,瞬間大量請求速度太快了,很多伺服器都防不住,因為網頁也是用異步,不然無法處理大量用戶訪問,但解決方式也很簡單 加入驗證碼就好了,來個Google我不是機器人,他們就任哉了。
超喜歡這個分享! 本身也是軟體工程師 覺得這類型的分享很刺激思考~
資安真的應該拿去做通識教育
是必修,數位時代大家都在用
很有趣的分享,雖然不太會應用到工作上但了解破解密碼的方法很有趣
喜歡這種關於資安方面的影片,如果可以的話想知道更多有趣的駭客手法,希望以後可以多拍!
主要是這個漏洞的邏輯基本上有點技術的資安人員都熟悉,但從攻擊成本和獲益來看其實不是什麼值得去試的手法(因為原理很簡單,但實踐上比較麻煩又不是什麼新鮮的方式,有些駭客會很講求炫技),所以當初設計時想必也沒有特別去想說有人會去嘗試
大陆工程师,插个话,我也是一个白帽子,这印度老哥的思路确实骚。其实对于厂商来说,每一个用户的安全都不应该轻视,但这就看厂商的良心。想不到apple也会忽略并偷偷修复漏洞,这种行为有点可耻。😂
對啊,世界上市值最高的公司也不過如此 XD
apple是假設自己的系統密不漏風然後沉浸在自己的世界裏
謝謝Nic的分享!
我上學期剛修完資安的課,暑假Nic又幫我複習了一次XD
平易近人的敘事方式講解實際案例~喜歡這次的影片
把數字組合做sorting, 把有相同和連續組合的放到較後, 破解時間應該會加快
不會 機率是一樣的
這種實戰解說好棒喔!!
希望以後能有更多這種影片
我以為偽裝基地台,挾持手機驗證碼,會比搞暴力破解容易得多哩...SIM卡加密應該不是牢不可破的..
應對這種暴力破解法最好的方式應當是收到使用者一定的輸入次數後更換驗證碼...不過造成伺服器負擔的額外成本可能還是需要考量
希望下一期能介紹一下Authenticator的運作原理..
那个的运作原理简单的讲就是一个算式,有两个变量第一个变量就是你一开始扫的二维码,第二个变量是时间,一算就能得出六个数,时间会变,所以六个数也会变
不錯不錯~~補足了一些資安觀念!講得非常易懂~~
這個大量攻擊的方式,感覺可以透過失敗次數過高會就鎖住這個帳號/密碼的方式阻擋暴力破解
喜歡這個影片,了解及討論一些真實案例類型的影片很讚!
分享的內容很有趣 也充分展現了對於這領域的專業 讚讚👍
喜歡這種有教育性、專業性的影片
感謝分享!race condition這招真的好用.....以前有段時間常用XD
很喜歡這種主題!感謝Nic分享!
感謝~蠻喜歡Nic分享這類有趣的案例跟事件,然後順便講解其中的程式&網路觀念~留言支持~
有趣 從一個手法可以看出超多延伸議題
講的很詳細 讚讚
推,講得很淺顯易懂,希望多來一些
好的,多來家早餐店
簡訊只要運用SS7就有可能被攔截,所以2FA並不建議用簡訊來驗證
除了改車的影片之外,這個資安的主題也很有趣,讓我思考為什麼有些網美的帳號會被盜,目的是甚麼?
滿喜歡的
希望nic可以多分享這類的知識
學到好多新詞,期待未來有更多技術相關影片
推 身為一個資工系學生覺得非常有趣
喜歡這個系列,希望可以看到更多
這個方法老實說沒有太大的技術量,只是沒人會估計大公司想到這種防禦想法(或者是在cloud服務流行之後沒有更新防範的手段)
要防止的手段也不複習,只是單純的工作量而且
最後我那些小網站我沒有做到這這樣的防範手段,但只要我看log 看到有相近的ip ,又不是本地的話,我一般會直接封鎖class b去處理(單純不是增加我的主機工作量而已)
但慘是用家,還沒被發現問題之前,戶口被駭,別人會怪你自己資安不足,結果原來是大公司的失誤
若設下最多只能retry 3次,不然就得重新申請,一小時最多只能申請3次,超過的話被鎖定3小時,這樣破解的難度應該就會高很多
方便跟安全是矛盾的
這樣設計可以阻擋,但同時也可以成為另一種攻擊
只要我弄台機器一直掃帳號,每個打爆限制
正常使用者想登入都登不了了 XD
畢竟在這種領域,我們很難分辨什麼叫做「正常」
要能夠解決單一問題是容易的,但要顧及到產品的可用性,可能就要更深思熟慮了
阻斷服務又是另一個議題了,可以敲碗當下一集的主題XD
若駭客的目的是為了入侵帳戶,打爆限制對他一點好處都沒有
@@chelee6302 但問題就是你防A目的,但衍伸出B目的的弱點,那就需要取捨或是斟酌出更好的方案就是,木桶理論,不能讓木桶有最短的木板,你把A木板弄長但卻是截B木板的一塊去補,那就不太好
@@Lzainside看應用,跟資產有關的你就會需要把A用到最高,就算犧牲B也在所不惜
@@chelee6302 說到這個 以前剛開始寫購物車功能, 防護觀念還不夠, 發現客戶對手會找人來搞網站, 被sql injection, 而且還是在訂單的表給你下sleep, 網站都可以正常瀏覽, 但是當你下單的時候就出錯, 因為訂單的表被sleep了, 想說怎麼這陣子都沒訂單😂😂
馬上搞死就會馬上發現
PlayStation的登錄驗證只有4位數字,那是不是更易攻破?還有請問你,我設置數字大小寫字母+符號的密碼,設置多少位是比較安全又高效的?請說說你對此的理解。
這讓我想到以前看過一個故事
兩個駭客在比賽看誰先攻破對方的電腦
先攻破的人,裁判燈就會亮綠燈
結果比賽剛開始不到幾十秒,A就獲勝了
B整個大傻眼,滿頭問號?
所有人也滿頭問號?
只有A淡定的比著裁判登說:
【我只是很簡單的攻破裁判燈】
真的只是思考邏輯不同,就能有很大的差別
所以俗話說
聰明的人找方法,失敗的人找藉口
不無道理
講的蠻清楚的 已訂閱
謝謝分享,希望有更多的這種影片
喜歡類似這樣的分享,感謝您分享有趣的知識。
通常網購平台的信用卡資料被駭,甚至是盜刷。類似的案例通常是怎麽樣情況下信用卡會在卡主人不知情的情況下盜刷?因為一般銀行都會有刷卡紀錄通知。有沒有之前過往發生過的案例可以分享嗎?
很有趣的題材
希望可以多分享一些
喜歡這類專業技術影片
推 希望能看到更多資安相關內容
我還以為後面是surf shark vpn 的業配 結果竟然沒有 真是良心TH-camr QAQ
這家有發信來,不想接 XD
好強 超級有幫助!
感謝分享!!挺有趣的~
我的FB在幾年前也被盜用過-而且我早就開啟兩步手機驗證
我後來觀看記錄-在沒收到任何認證碼及登入通知的情況下就就被登入多次…還被投放垃圾廣告
其實只要有足夠的ip地址就可以駭入非常多的帳號
手機號碼不也是數字嗎?
理論上只需要10^(length(電話號碼)+length(驗證碼))/(1個ip地址最多可以發送驗證碼的數量)個ip地址就可以同時攻擊1個地區所有電話號碼了
雖然這只是理論上,而且現在應該不可以這樣駭了,但在修復前這樣不就可以進行大規模帳號入侵了嗎?
系统验证 可以按照一段时间内同一账号的 重置次数限制,不用IP限制
非常好的內容,謝謝🙏您。有為的年青人,讚👍
很讚的內容!
希望可以有更多資安相關的影片~~
有趣!簡單易懂
很棒的技術解析
謝謝留言支持 🙌
那些大帳號 或者是有經過官方驗證的帳號 重製密碼流程與登錄流程可能會跟普通帳號不太一樣 應該不會那麼容易破解吧?
每次來都可以有又上了一堂好課程的想法
好特別的知識!!!感謝分享
感謝感謝,我也覺得很有趣 😆
總算明白為何SMS那麼不安全。
但如果把數字+英文字+符號組合,再加6位數,按微軟般提升數目。
那麼,攻擊成本大增,就足夠保護大部份人。
然而,很多人仍然認為SMS是不安全。請問是否有其他漏洞?
多講一些資安的事情,滿有趣的
簡單來講就是位數越多,甚至是加入各種英文字母和特殊符號,最安全
很有趣的實例
好優質的影片
謝謝分享,看完長知識了。
對於信用卡能繞過OTP被盗擦的事件,請問你有沒有興趣做影片?
很有趣的分享!
discord駭客:我有你的token還要你的驗證碼幹嘛
可以在驗證頁面加上圖形驗證增加攻擊者所花的時間成本
很有意思的內容
非常感謝您的分享,
還真沒想過可以這樣搞!學到一課了!
還有驗證碼也能OCR 所以現在驗證碼難到連人都看不懂😂😂
想問一下Nic平常也會找尋大公司網站的漏洞嗎?
或許登錄的驗證碼可以提高比較多位數 然後用簡訊自動填入
這樣安全 又不會麻煩
手機號碼反而相對好取得!
不管是購買個資,或者路上、網路上的廣告、商家電話看一看,就能找到電話了。
很有知識性!
學習了
受益良多,谢谢分享 😍
請問一下如果不是用手機而是用驗證app的話,這樣照這個駭客的方式是不是就算找多台雲端伺服器來也很難攻破呢?
使用者方便.....駭客也方便...
有些業主真的會提出這種要求..
突然想到有的驗證碼是用google authenticator 就是在使用者手機上會自動出現驗證碼 然後每幾秒會更換一次 這種的有被駭成功過嗎
所以以相同觀念來說一些被制裁國家可以支撐的起這些成本,然後來攻擊、勒索用戶來獲取金援。
好看欸
感覺可以做個系列
個人手機號碼蠻容易取得的,看看那些每天打來騷擾的詐騙電話就知道XD
學習到新知識了
歡迎泰瑞再度光臨 😌
@@niclin 要破100k了 加油💪💪
@@hackbearterry 持續努力中 XDD 感謝哥
手機整隻被監控有救嗎 ?就像被寄生的手機ㄧ樣 對方能看你ㄧ舉一動 還有竊聽功能 我是說就算沒講電話也能竊聽 困擾2年多了 換新也被監控 那我要ㄧ直換新手機嗎 對方雖然違法不過沒證據 對方能裝傻ㄧ輩子 以上是沒碰我任何手機達到目的
直接在你的手機上安裝監聽密碼的軟件不是更有效率嗎
問題範圍不一樣
這裡不是效率的問題 XD
影片裡有說,假設目標是不在你身邊的人
要如何做到讓目標安裝監聽密碼的程式,這就是一個問題
基本上要用釣的,這邊就是社交工程的範圍了
對方是 android, iOS? 有更多資訊要收集
想問nic一下 你後面的那個鍵盤是什麼款式?
如果是6位a-z+0-9這樣是不是又又又更難了
再加符號
刷信用卡是不是也會給這方法破解呢? 香港有不少人沒刷卡卻收到信用卡帳單
一般從手機盜刷信用卡有幾種,不會到上面那樣的金錢跟時間成本。
1.從某些方式拿到你購物網站的密碼,取得綁定信用卡後小額盜刷(之前淘寶有人賣,因為有些系統漏洞平台不修....
2.透過網站.app抓到你硬體的暫存資訊(這種就可以高額刷卡,但不會刪除你的手機刷卡簡訊
3.在外面用Usb充電,系統自動破解手機(也是高額盜刷,然後盜刷簡訊也收不到
我一兩個禮拜前IG帳號被盜用,發了一個限時動態和帖子,說我因為Elon Musk賺了幾個比特幣。當時我正在打遊戲玩得興起,突然收到通知有人讚好了我的帖子,我心想怎麼可能(我的帳號什麼東西也沒有),便馬上進去,可惜已經有幾個人看見了,這下可尷了。然後過了一段時間我發現我的帳號追蹤了一百多個陌生人,於是我趕緊全部都刪除追蹤,也重設了密碼,檢查記錄還發現我的帳號被一台在印度的電腦登入過。我懷疑這是兩個騙局,1就是比特幣,2就是人們買追蹤,然後他就駭入別人的帳號追蹤那些人,幹
小公司通常會失敗吧,瞬間100萬個請求,伺服器資源會耗盡
也不用100萬個,我們公司之前內部網站有人在一個動作按鈕狂點了20幾次,加上其他正常使用者的使用行為大概80個吧,整個當掉,最後直接把分配到請求的 server重啟
@@maxenceyang3451 这漏洞不难解决吧,谷歌搜索都知道验证人机。对某些账号设一个总的请求上限,触发后直接弹出人机验证,应该不难吧,数值最好在一个范围随机跳动
@@一只小鹿-v6n 笑死 要不你去跟我老闆說說? 查解法不難,付我薪水的沒要我做幹嘛自己找事做
太強啦 🐮
深入淺出 推
诚恳的请问为什么这些验证码不使用英文字符+号码呢? 这样看似增加了更多组合可能性
棒棒
如果遺失了原本註冊的信箱(帳號記得,密碼遺失)&備用信箱和手機號碼,那有辦法取回IG和信箱嗎?最近把自己的IG搞掉了,重瓣一隻帳號也沒辦法用以前的心態去滑,多少還是會有很多不捨QQ
我覺得學校資訊課可以播這個,比老師上課講一堆資安多重要這種聽膩的話有趣多了
errr科技小白有问题😅
1想问为什么验证码骇客可以输入这么多次?我们普通用户不是只能输入1, 2次吗?
2那个白帽骇客攻击instagram是2019年的事吧? 那bug应该已经修复了啊?可是我最近又很多朋友的账号被盗🤔(话说少follower的账号被盗的原因是可以follow别人来增加某某网红的粉丝量)
3身为普通用户的我们应该如何确保自己的账号不被盗呢?
感谢nic的科普,我想彻底明白所以来发问🙋🏻♂️
哦对了,如果骇客用电话号码的话,验证码不是会传到用户手机上吗?那用户不就会发现了?
@@ariesquek3000 沒被盜過的用戶,大多都不會有警覺,直覺是發錯簡訊。或者現代人太忙,不會立即看到簡訊。
他應該是直接對伺服器發送請求,不是透過 Instagram 的 client ,所以可以請求多次。伺服器只認 IP,限制次數都是1分鐘幾十幾百次在算,加上 Instagram 沒有封鎖 IP 的機制,然後就是影片中的方法了。
@@不要稱讚我😮😮原来可以直接对伺服器发送请求,这个是默认有这个方法的吗?所以要防被骇就要封锁IP? IG这么久了还不封吗?
@@jamisonwen07 🤔如果是年轻人应该会有警觉吧.....?
2:09 這樣要輸入接收pin的電話? 而不是自動發送到註冊時的電話? 這樣輸入自己的電話或網上那些幫人收SMS的電話不就能拿到PIN了嗎 😑😑
感謝 instagram 的公司幫助我了解我的 patina 帳戶中發生的事情,我非常感謝
很有趣