【福建医科大学附属第一医院-注册安全分析报告】

前言
由于网站注册入口容易被黑客攻击,存在如下安全问题:

  1. 暴力破解密码,造成用户信息泄露
  2. 短信盗刷的安全问题,影响业务及导致用户投诉
  3. 带来经济损失,尤其是后付费客户,风险巨大,造成亏损无底洞
    在这里插入图片描述

所以大部分网站及App 都采取图形验证码或滑动验证码等交互解决方案, 但在机器学习能力提高的当下,连百度这样的大厂都遭受攻击导致点名批评, 图形验证及交互验证方式的安全性到底如何? 请看具体分析

一、 福建医科大学附属第一医院PC 注册入口

简介:福建医科大学附属第一医院(以下简称“医院”)创建于1937年,是福建省首家公立西医医院。历经抗战的硝烟,告别动荡的岁月,百折不挠的附一人秉承“践行立德树人,守护生命安全,推动医学进步,促进人民健康”的使命,将医院建设成为福建省集医疗、教学、科研于一体的大型综合性三级甲等医院。医院综合实力雄厚,是福建省高水平医院,并被国家发改委、国家卫健委确定为首批全国疑难病症诊治能力提升工程项目医院和中国罕见病协作网福建省牵头单位。在国家卫健委公布的三级公立医院绩效考核中,连续5年荣获A+,分别位居全国第37名、第44名、第42名、第42名、第32名。医院荣登2023年研究型医院排行榜全国第33名,在2024年Nature发布的自然指数榜单中,位列全球医疗机构第284位,居福建省第一。与复旦大学附属华山医院共建的复旦大学附属华山医院福建医院(福建医科大学附属第一医院滨海院区)为全国首批10家国家区域医疗中心。

1. 注册引导页

在这里插入图片描述
在这里插入图片描述

2. 会员注册页面

在这里插入图片描述

二、 安全性分析报告:

福建医科大学附属第一医院采用的是自己研发的滑动验证码,容易被模拟器绕过甚至逆向后暴力攻击,滑动拼图识别率在 95% 以上。

在这里插入图片描述

三、 测试方法:

前端界面分析,这是福建医科大学附属第一医院自己研发的滑动验证码,网上没有现成的教学视频,但形式都差不多,没什么难度 , 这次还是采用模拟器的方式,关键点主要模拟器交互、距离识别和轨道算法3部分 。

在这里插入图片描述

  1. 模拟器交互部分

private static String INDEX_URL = "https://jk.fyyy.com:10081/module/backstage/pcweb/#/login";@Overridepublic RetEntity send(WebDriver driver, String areaCode, String phone) {try {RetEntity retEntity = new RetEntity();driver.get(INDEX_URL);WebElement tabElement = ChromeDriverManager.waitElement(driver, By.xpath("//div/span[contains(text(),'暂无账号?点击注册')]"), 20);tabElement.click();			// 输入手机号Thread.sleep(1000);WebElement phoneElement = driver.findElement(By.xpath("//input[contains(@placeholder,'请输入手机号码')]"));phoneElement.sendKeys(phone);// 密码Thread.sleep(1000);WebElement passElement = driver.findElement(By.xpath("//input[contains(@placeholder,'设置密码')]"));passElement.sendKeys("Abc123456");WebElement passConfirmElement = driver.findElement(By.xpath("//input[contains(@placeholder,'确认密码')]"));passConfirmElement.sendKeys("Abc123456");Thread.sleep(500);List<WebElement> findElements = driver.findElements(By.xpath("//button/span"));WebElement sendElement = null;for (WebElement web : findElements) {String text = web.getText();if (text != null && text.contains("获取验证码")) {web.click();sendElement = web;break;}}Thread.sleep(2000);WebElement moveElemet = ChromeDriverManager.waitElement(driver, By.id("slider-move-btn"), 20);// 1 获取带阴影的背景图byte[] bigBytes = GetImage.callJsById(driver, "bg-img");// 2 获取小图byte[] smallBytes = GetImage.callJsById(driver, "slider-img");// 3 计算匹配到的位置String ckSum = GenChecksumUtil.genChecksum(bigBytes);Map<String, Double> openResult = cv2.getOpenCvDistance(ckSum, bigBytes, smallBytes, "Fyyy", 0);if (openResult == null || openResult.size() < 2) {System.out.println("ckSum=" + ckSum + "->openResult=" + openResult);return null;}Double r = 260.0 / 590.0;BigDecimal disD = new BigDecimal(openResult.get("minX") * r).setScale(0, BigDecimal.ROUND_HALF_UP);int distance = disD.intValue();// 4 滑动ActionMove.move(driver, moveElemet, distance);Thread.sleep(2000);String msg = (sendElement != null) ? sendElement.getText() : null;retEntity.setMsg(msg);if (msg != null && msg.contains("后重新获取")) {retEntity.setRet(0);}return retEntity;} catch (Exception e) {System.out.println("phone=" + phone + ",e=" + e.toString());for (StackTraceElement ele : e.getStackTrace()) {System.out.println(ele.toString());}return null;} finally {driver.manage().deleteAllCookies();}}

2. 距离识别


/*** * @param ckSum* @param bigBytes* @param smallBytes* @param factory* @return { width, maxX }*/public String[] getOpenCvDistance(String ckSum, byte bigBytes[], byte smallBytes[], String factory, int border) {try {String basePath = ConstTable.codePath + factory + "/";File baseFile = new File(basePath);if (!baseFile.isDirectory()) {baseFile.mkdirs();}// 小图文件File smallFile = new File(basePath + ckSum + "_s.png");FileUtils.writeByteArrayToFile(smallFile, smallBytes);// 大图文件File bigFile = new File(basePath + ckSum + "_b.png");FileUtils.writeByteArrayToFile(bigFile, bigBytes);// 边框清理(去干扰)byte[] clearBoder = (border > 0) ? ImageIOHelper.clearBoder(smallBytes, border) : smallBytes;File tpFile = new File(basePath + ckSum + "_t.png");FileUtils.writeByteArrayToFile(tpFile, clearBoder);String resultFile = basePath + ckSum + "_o.png";return getWidth(tpFile.getAbsolutePath(), bigFile.getAbsolutePath(), resultFile);} catch (Throwable e) {logger.error("getMoveDistance() ckSum=" + ckSum + " " + e.toString());for (StackTraceElement elment : e.getStackTrace()) {logger.error(elment.toString());}return null;}}/*** Open Cv 图片模板匹配* * @param tpPath*            模板图片路径* @param bgPath*            目标图片路径* @return { width, maxX }*/private String[] getWidth(String tpPath, String bgPath, String resultFile) {try {Rect rectCrop = clearWhite(tpPath);Mat g_tem = Imgcodecs.imread(tpPath);Mat clearMat = g_tem.submat(rectCrop);Mat cvt = new Mat();Imgproc.cvtColor(clearMat, cvt, Imgproc.COLOR_RGB2GRAY);Mat edgesSlide = new Mat();Imgproc.Canny(cvt, edgesSlide, threshold1, threshold2);Mat cvtSlide = new Mat();Imgproc.cvtColor(edgesSlide, cvtSlide, Imgproc.COLOR_GRAY2RGB);Imgcodecs.imwrite(tpPath, cvtSlide);Mat g_b = Imgcodecs.imread(bgPath);Mat edgesBg = new Mat();Imgproc.Canny(g_b, edgesBg, threshold1, threshold2);Mat cvtBg = new Mat();Imgproc.cvtColor(edgesBg, cvtBg, Imgproc.COLOR_GRAY2RGB);int result_rows = cvtBg.rows() - cvtSlide.rows() + 1;int result_cols = cvtBg.cols() - cvtSlide.cols() + 1;Mat g_result = new Mat(result_rows, result_cols, CvType.CV_32FC1);Imgproc.matchTemplate(cvtBg, cvtSlide, g_result, Imgproc.TM_CCOEFF_NORMED); // 归一化平方差匹配法// 归一化相关匹配法MinMaxLocResult minMaxLoc = Core.minMaxLoc(g_result);Point maxLoc = minMaxLoc.maxLoc;Imgproc.rectangle(cvtBg, maxLoc, new Point(maxLoc.x + cvtSlide.cols(), maxLoc.y + cvtSlide.rows()), new Scalar(0, 0, 255), 1);Imgcodecs.imwrite(resultFile, cvtBg);String width = String.valueOf(cvtSlide.cols());String maxX = String.valueOf(maxLoc.x + cvtSlide.cols());System.out.println("OpenCv2.getWidth() width=" + width + ",maxX=" + maxX);return new String[] { width, maxX };} catch (Throwable e) {System.out.println("getWidth() " + e.toString());logger.error("getWidth() " + e.toString());for (StackTraceElement elment : e.getStackTrace()) {logger.error(elment.toString());}return null;}}public Rect clearWhite(String smallPath) {try {Mat matrix = Imgcodecs.imread(smallPath);int rows = matrix.rows();// height -> yint cols = matrix.cols();// width -> xSystem.out.println("OpenCv2.clearWhite()  rows=" + rows + ",cols=" + cols);Double rgb;double[] arr;int minX = 255;int minY = 255;int maxX = 0;int maxY = 0;Color c;for (int x = 0; x < cols; x++) {for (int y = 0; y < rows; y++) {arr = matrix.get(y, x);rgb = 0.00;for (int i = 0; i < 3; i++) {rgb += arr[i];}c = new Color(rgb.intValue());int b = c.getBlue();int r = c.getRed();int g = c.getGreen();int sum = r + g + b;if (sum >= 5) {if (x <= minX)minX = x;else if (x >= maxX)maxX = x;if (y <= minY)minY = y;else if (y >= maxY)maxY = y;}}}int boder = 1;if (boder > 0) {minX = (minX > boder) ? minX - boder : 0;maxX = (maxX + boder < cols) ? maxX + boder : cols;minY = (minY > boder) ? minY - boder : 0;maxY = (maxY + boder < rows) ? maxY + boder : rows;}int width = (maxX - minX);int height = (maxY - minY);System.out.println("openCv2 minX=" + minX + ",minY=" + minY + ",maxX=" + maxX + ",maxY=" + maxY + "->width=" + width + ",height=" + height);Rect rectCrop = new Rect(minX, minY, width, height);return rectCrop;} catch (Throwable e) {StringBuffer er = new StringBuffer("clearWrite() " + e.toString() + "\n");for (StackTraceElement elment : e.getStackTrace()) {er.append(elment.toString() + "\n");}logger.error(er.toString());System.out.println(er.toString());return null;}}

3. 轨道生成及移动算法

/*** 双轴轨道生成算法,主要实现平滑加速和减速* * @param distance* @return*/public static List<Integer[]> getXyTrack(int distance) {List<Integer[]> track = new ArrayList<Integer[]>();// 移动轨迹try {int a = (int) (distance / 3.0) + random.nextInt(10);int h = 0, current = 0;// 已经移动的距离BigDecimal midRate = new BigDecimal(0.7 + (random.nextInt(10) / 100.00)).setScale(4, BigDecimal.ROUND_HALF_UP);BigDecimal mid = new BigDecimal(distance).multiply(midRate).setScale(0, BigDecimal.ROUND_HALF_UP);// 减速阈值BigDecimal move = null;// 每次循环移动的距离List<Integer[]> subList = new ArrayList<Integer[]>();// 移动轨迹boolean plus = true;Double t = 0.18, v = 0.00, v0;while (current <= distance) {h = random.nextInt(2);if (current > distance / 2) {h = h * -1;}v0 = v;v = v0 + a * t;move = new BigDecimal(v0 * t + 1 / 2 * a * t * t).setScale(4, BigDecimal.ROUND_HALF_UP);// 加速if (move.intValue() < 1)move = new BigDecimal(1L);if (plus) {track.add(new Integer[] { move.intValue(), h });} else {subList.add(0, new Integer[] { move.intValue(), h });}current += move.intValue();if (plus && current >= mid.intValue()) {plus = false;move = new BigDecimal(0L);v = 0.00;}}track.addAll(subList);int bk = current - distance;if (bk > 0) {for (int i = 0; i < bk; i++) {track.add(new Integer[] { -1, h });}}System.out.println("getMoveTrack(" + midRate + ") a=" + a + ",distance=" + distance + " -> mid=" + mid.intValue() + " size=" + track.size());return track;} catch (Exception e) {System.out.print(e.toString());return null;}}/*** 模拟人工移动* * @param driver* @param element页面滑块* @param distance需要移动距离* @throws InterruptedException*/public static void move(WebDriver driver, WebElement element, int distance) throws InterruptedException {List<Integer[]> track = getXyTrack(distance);if (track == null || track.size() < 1) {System.out.println("move() track=" + track);}int moveY, moveX;StringBuffer sb = new StringBuffer();try {Actions actions = new Actions(driver);actions.clickAndHold(element).perform();Thread.sleep(50);long begin, cost;Integer[] move;int sum = 0;for (int i = 0; i < track.size(); i++) {begin = System.currentTimeMillis();move = track.get(i);moveX = move[0];sum += moveX;moveY = move[1];if (moveX < 0) {if (sb.length() > 0) {sb.append(",");}sb.append(moveX);}actions.moveByOffset(moveX, moveY).perform();cost = System.currentTimeMillis() - begin;if (cost < 5) {Thread.sleep(5 - cost);}}if (sb.length() > 0) {System.out.println("-----backspace[" + sb.toString() + "]sum=" + sum + ",distance=" + distance);}Thread.sleep(180);actions.release(element).perform();Thread.sleep(500);} catch (Exception e) {StringBuffer er = new StringBuffer("move() " + e.toString() + "\n");for (StackTraceElement elment : e.getStackTrace())er.append(elment.toString() + "\n");logger.error(er.toString());System.out.println(er.toString());}}

4. 图片比对结果测试样例:
在这里插入图片描述

四丶结语

福建医科大学附属第一医院(以下简称“医院”)创建于1937年,是福建省首家公立西医医院。历经抗战的硝烟,告别动荡的岁月,百折不挠的附一人秉承“践行立德树人,守护生命安全,推动医学进步,促进人民健康”的使命,将医院建设成为福建省集医疗、教学、科研于一体的大型综合性三级甲等医院。医院综合实力雄厚,是福建省高水平医院,并被国家发改委、国家卫健委确定为首批全国疑难病症诊治能力提升工程项目医院和中国罕见病协作网福建省牵头单位。与复旦大学附属华山医院共建的复旦大学附属华山医院福建医院(福建医科大学附属第一医院滨海院区)为全国首批10家国家区域医疗中心。医院作为涉及民生的重点事业单位,技术实力较弱采取采购产品的方式,采购了一家智业健康的软件产品,这家公司研发的滑动验证产品, 在一定程度上提高了用户体验, 不过随着图形识别技术及机器学习能力的提升,所以在网上破解的文章和教学视频也是大量存在,并且经过验证的确有效, 所以除了滑动验证方式, 花样百出的产品层出不穷,但本质就是牺牲用户体验来提高安全。

很多人在短信服务刚开始建设的阶段,可能不会在安全方面考虑太多,理由有很多。
比如:“ 需求这么赶,当然是先实现功能啊 ”,“ 业务量很小啦,系统就这么点人用,不怕的 ” , “ 我们怎么会被盯上呢,不可能的 ”等等。

有一些理由虽然有道理,但是该来的总是会来的。前期欠下来的债,总是要还的。越早还,问题就越小,损失就越低。

所以大家在安全方面还是要重视。(血淋淋的栗子!)#安全短信#

戳这里→康康你手机号在过多少网站注册过!!!

谷歌图形验证码在AI 面前已经形同虚设,所以谷歌宣布退出验证码服务, 那么当所有的图形验证码都被破解时,大家又该如何做好防御呢?

>>相关阅读
《腾讯防水墙滑动拼图验证码》
《百度旋转图片验证码》
《网易易盾滑动拼图验证码》
《顶象区域面积点选验证码》
《顶象滑动拼图验证码》
《极验滑动拼图验证码》
《使用深度学习来破解 captcha 验证码》
《验证码终结者-基于CNN+BLSTM+CTC的训练部署套件》

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/458613.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

微信机器人自动回复了解下

现在使用微信来做私域营销和维护客户的非常多&#xff0c;在工作上会频繁地遭遇客户提出的相同问题&#xff0c;当我们的好友数量众多时&#xff0c;手动逐个回复可能会耗费大量的时间。 幸运的是&#xff0c;多微管理系统的自动回复功能为我们带来了福音。帮助咱们解决这一难…

原创作品——GIS和监控软件设计

这套数据可视化大屏软件UI设计旨在提供一个直观、高​‌‌效且易于理解的界面&#xff0c;用于展示和分析大量的能源数据和信息。以下是关于该系统UI设计的详细介绍&#xff1a; 整体布局与设计风格&#xff1a; 界面以蓝色调为主&#xff0c;代表冷静、专业和科技的氛围。 布…

VisualStudio2022配置2D图形库SFML

文章目录 1. 下载安装SFML库2. 创建C项目并配置SFML配置include目录和库目录链接SFML库配置动态链接库 3. 测试 1. 下载安装SFML库 SFML&#xff08;Simple and Fast Multimedia Library&#xff09;C库&#xff0c;适合2D游戏和图形界面&#xff0c;提供了以下模块&#xff1…

通过conda install -c nvidia cuda=“11.3.0“ 安装低版本的cuda,但是却安装了高版本的12.4.0

问题 直接通过 conda install -c nvidia cuda"11.3.0"安装得到的却是高版本的 不清楚原理 解决方法 不过我们可以分个安装 runtime toolkit 和 nvcc 安装指定版本的 cudatoolkit 和 nvcc conda install -c nvidia cuda-cudart"11.3.58" conda instal…

电机学习-SVPWM合成原理

一、核心理论 SVPWM 算法的理论基础是平均值等效原理 &#xff0c;即在一个开关周 T s T_s Ts​内通过对基本电压矢量加以组合&#xff0c;使其平均值与给定电压矢量相等。 引用于《现代永磁同步电机控制原理及MATLAB仿真》 二、合成原理 在扇区 I 为例&#xff1a; 矢量 U o…

【实用知识】Spring Boot 优雅捕捉异常的几种姿势

&#x1f449;博主介绍&#xff1a; 博主从事应用安全和大数据领域&#xff0c;有8年研发经验&#xff0c;5年面试官经验&#xff0c;Java技术专家&#xff0c;WEB架构师&#xff0c;阿里云专家博主&#xff0c;华为云云享专家&#xff0c;51CTO 专家博主 ⛪️ 个人社区&#x…

【损害和风险评估&坑洼】路面坑洼检测系统源码&数据集全套:改进yolo11-DCNV3

改进yolo11-DLKA等200全套创新点大全&#xff1a;路面坑洼检测系统源码&#xff06;数据集全套 1.图片效果展示 项目来源 人工智能促进会 2024.10.24 注意&#xff1a;由于项目一直在更新迭代&#xff0c;上面“1.图片效果展示”和“2.视频效果展示”展示的系统图片或者视频可…

【OpenAI】第五节(图像生成)利用 OpenAI 的 DALL·E 实现自动化图像生成:从文本到图像的完整教程

引言 OpenAI 推出的 DALLE 工具因其能够生成令人惊叹的艺术作品而备受瞩目。DALLE 不仅能够生成静态图像&#xff0c;还能根据用户的需求进行风格化处理&#xff0c;创造出独特的艺术作品。通过 OpenAI 的 API&#xff0c;你可以轻松将 DALLE 的强大功能集成到你的 Python 程序…

单反相机内存卡误删照片怎么办?别急,这里有恢复方法

在摄影的世界里&#xff0c;单反相机无疑是众多摄影爱好者与专业摄影师的首选工具。它不仅能够捕捉细腻丰富的画面细节&#xff0c;还提供了高度的操作灵活性和可扩展性。然而&#xff0c;在使用单反相机的过程中&#xff0c;我们难免会遇到一些技术上的困扰&#xff0c;其中之…

【网络面试篇】三次握⼿、四次挥手综述

目录 一、三次握手 1. 过程描述 2. 为什么不是四次握手&#xff1f;为什么不能两次握手&#xff1f; 二、四次挥手 1. 过程描述 2. 为什么是四次挥手&#xff1f; 一、三次握手 1. 过程描述 ① 客户端 向 服务器 发送 SYN 报文、初始化序列号 ISN&#xff08;seqx&…

自定义鼠标事件在拖拽中的使用

目标&#xff1a; 显示鼠标在容器元素中划过时经过的元素,但是容器内肯能会出现大量元素&#xff0c;所以直接给容器元素添加click事件&#xff0c;通过elementFromPoint的API模拟子元素被点击事件效果 看看效果吧 涉及的重要对象 MousEvent 参考 MDN 相关代码 operateCont…

[项目详解][boost搜索引擎#2] 建立index | 安装分词工具cppjieba | 实现倒排索引

目录 编写建立索引的模块 Index 1. 设计节点 2.基本结构 3.(难点) 构建索引 1. 构建正排索引&#xff08;BuildForwardIndex&#xff09; 2.❗构建倒排索引 3.1 cppjieba分词工具的安装和使用 3.2 引入cppjieba到项目中 倒排索引代码 本篇文章&#xff0c;我们将继续项…

C++《vector的模拟实现》

在之前《vector》章节当中我们学习了STL当中的vector基本的使用方法&#xff0c;了解了vector当中各个函数该如何使用&#xff0c;在学习当中我们发现了vector许多函数的使用是和我们之前学习过的string类的&#xff0c;但同时也发现vector当中一些函数以及接口是和string不同的…

在Postgresql中对空间数据进行表分区的实践

在数据库管理中&#xff0c;合理地对数据进行分区可以提高查询性能和数据管理效率。 本文将详细介绍在Postgresql中对空间数据进行表分区的实践过程。 测试计算机容量有限&#xff0c;测试最大数据量为1,000,000条。 关键字: Postgresql PostGIS 表分区 空间数据 测试计算…

Easy Excel合并单元格情况简单导入导出

需求 实现报表数据的导入导出&#xff0c;表格中部分数据是系统生成&#xff0c;部分数据是甲方填写&#xff0c;录入系统。 批号唯一 Maven <dependency><groupId>com.alibaba</groupId><artifactId>easyexcel</artifactId><version>3.…

【modbus协议】libmodbus库移植基于linux平台

文章目录 下载库函数源码编译路径添加libmodbus 源码分析核心数据结构常用接口函数 开发 TCP Server 端开发TCP Client 端 下载库函数源码 编译路径添加 libmodbus 源码分析 核心数据结构 modbus_t结构体&#xff1a; 这是 libmodbus 的核心数据结构&#xff0c;代表一个 Mod…

机房巡检机器人有哪些功能和作用

随着数据量的爆炸式增长和业务的不断拓展&#xff0c;数据中心面临诸多挑战。一方面&#xff0c;设备数量庞大且复杂&#xff0c;数据中心内服务器、存储设备、网络设备等遍布&#xff0c;这些设备需时刻保持良好运行状态&#xff0c;因为任何一个环节出现问题都可能带来严重后…

从0到1学习node.js(express模块)

文章目录 Express框架1、初体验express2、什么是路由3、路由的使用3、获取请求参数4、电商项目商品详情场景配置路由占位符规则5、小练习&#xff0c;根据id参数返回对应歌手信息6、express和原生http模块设置响应体的一些方法7、其他响应设置8、express中间件8.1、什么是中间件…

如何搭建直播美颜SDK平台的最佳实践?美颜API的实现与集成详解

本篇文章&#xff0c;将从技术实现、平台搭建、API集成以及性能优化四个方面&#xff0c;为开发者详解如何搭建一个直播美颜SDK平台。 一、直播美颜SDK平台的技术架构 一般的美颜效果包括磨皮、亮肤、瘦脸、大眼等&#xff0c;这些效果的实现需要依赖图像增强和滤镜算法。核心…

【51单片机】第一个小程序 —— 点亮LED灯

学习使用的开发板&#xff1a;STC89C52RC/LE52RC 编程软件&#xff1a;Keil5 烧录软件&#xff1a;stc-isp 开发板实图&#xff1a; 文章目录 单片机介绍LED灯介绍练习创建第一个项目点亮LED灯LED周期闪烁 单片机介绍 单片机&#xff0c;英文Micro Controller Unit&#xff0…