1、盗号攻击的横纵切分
目的:将盗号风险通过X、Y轴切分,实现该风险域的全局把控,同时通过线性划分,将盗号风险的攻防思路行成‘体系化策略’,避免单点、散点解决问题
2、切分后的现状
根据现状,梳理出每一个登录因子,触发的登录风控规则「风控规则要求明确,可以有遗漏」,比如现状如表2.1所示:
X|Y
|
手机号-短信
|
手机号+密码 | *** |
APP | *** | ||
PC |
|
|
*** |
小程序 |
|
不支持 | *** |
H5 |
|
|
*** |
表2.1 切分后的盗号现状
3、攻防策略
攻击方发现并暴露问题,防守方修复问题、迭代防御;修复后的防御策略又反过来影响攻击方的策略打发、促使攻击方迭代提高自己的能力
-
攻击、防御都是基于当前各自认知构建的,攻防博弈的过程就是不断迭代各自认知、调整策略
3.1、攻击策略
目标:盗号方式覆盖率***(如50%),(表2.1)盗号入口与因子覆盖率***(如70%)。
攻击策略(基于认知与现状,进行风险判断后的综合考虑):初始策略如下
-
优先覆盖逻辑类漏洞
-
次优覆盖Y轴(Y轴高优选择风险系数高的)
-
如:‘手机号+密码’登录因子,在各入口登录时,风控规则有‘收获地址’,则高优对抗暴露问题(网上帐密泄露、社工库较多)
-
-
在同Y轴情况下,X轴尽量选择风控水位低的覆盖
-
如:APP盗号风控比PC强,则可以优先覆盖PC入口
-
3.2、防御策略
通过登录因子在各登录入口风险情况,进行认证枚举,避免认证遗漏,以手机号-短信、手机号+密码为例,每个登录入口身份认证策略可以设计为如表2.2(表中仅笔者的示列)
-
每次攻击暴露的问题,都需要重新审视、调整策略,避免存在视野上的重大遗漏,造成巨大风险
X|Y |
手机号-短信 |
手机号+密码 |
---|---|---|
APP |
|
|
PC |
|
不支持 |
小程序 |
|
不支持 |
H5 |
|
|
表2.2 登录策略表
完成每个登录因子与登录策略设定后,可以形成一张全局登录风控,对用户每次登录进行风险决策,避免盗号,形如零信任。
最后,感兴趣可以交个朋友
原文始发于微信公众号(馗安社):盗号攻击的横纵切分与攻防策略
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论