趁着金九银十还没来,今天研究个话题,你为什么抢不到房?
很多人都会说,炒房团太凶,开发商心机,手太黑...... 这些的确有一定影响,但是并不是关键!今天要爆料的是下面这个:
随着互联网发展,房地产开发商也从传统的售楼处转战网络。线下黄牛党嗅着钱味,也在互联网上安营扎寨,准备架炮攻城。然后,万科就找到极验。作为稀缺资源代表,抢购楼盘利润更高!万科的楼盘原本就非常难抢,加上黑产介入,普通人基本没戏。
万科作为行业大佬,开发“e选房”项目,创网络抢房先河。但是,极验接入做安全项目测试发现,由于缺乏对网络黑产认知,“e选房”当前对于机器流量所做的防御,几乎等于零。直接造成,大量用户根本没机会选房。下面,我们就模拟演示下如果通过程序进行抢房:
一、登录注册,传统图片验证码破解
万科 e 选房前期系统存在“重复投递”的漏洞,但是即使没有这种“重复投递” 的漏洞,加上下面的图片验证码,也并没有对安全有太大的改善。于是,极验进行了下面的安全测试:
1. 原始验证图片:
2. 畸形矫正:
3.字符分割和二值化:
4.使用深度学习进行训练,10 分钟就能出结果:
5.然后对 150 张新下载的图片做识别测试:
我们可以发现,图片验证码识别率可以达到 100%!传统图片验证码不具备任何的防御能力。直接结果就是,机器批量恶意注册,垃圾注册以及可能存在的通过数据字典库进行恶意撞库攻击、暴力破解引起的用户信息泄露!通过这些操作,0秒抢房不是梦!
二、模拟机器抢房,0秒抢房
1.通过以上操作,使用账号信息获取旧金山区域的房源-->分类楼层-->可拍卖的房号, 每个手机号会随机挑选一个房号去抢房接口。
2.重复选房操作!
详细过程不在细表,结果就是,通过程序即可实现批量登录选房操作。
三、成功部署极验“行为验证”后:
1. 通过多次模拟滑动轨迹,均不能通过验证,无法取得 token,难以模拟登陆和进 行后续的抢房操作。详见下图展示:
2. 我们到某次人工验证成功的极验“行为验证”的凭证,再去批量登录检测:
3. 结果一次也用不了,依然无法通过验证登录:
4. 我们又手工复制了网页登陆成功状态下的 cookie 令牌用来登陆了单个账号,而在一键抢房环节,依旧会遇到验证码,进一步阻止了自动化抢房操作:
注:以上弹出的图文点选验证码是部署极验产品后人工智能感知引擎感知到攻击风险,自动弹出的第二层验证模式,以保障在受到黑产攻击的情况下用户能够公平抢房,阻止黑产进一步登录抢房。
通过测试,极验“行为验证”在关键环节都对系统形成了良好的保护,使得被保护环节都无法使用程序做自动化,恢复了相对公平的购房环境。金九银十,抢房之前,大家可以看下开发商是否使用了“行为验证”,如果还是图片验证码,我们还是换别家看看吧。
全球 22 万家企业网站&APP的选择
每日提供超过 7 亿次的安全防护
