《 “个人账号安全检查清单” 》 有 28 条评论

1. Security Guide for Developers (实用性开发人员安全须知) https://git.io/security
   https://github.com/FallibleInc/security-guide-for-developers

   回复

2. Security + DevOps: Automatic Server Hardening（自动化服务器/应用配置加固）
   https://github.com/dev-sec
   https://github.com/dev-sec/chef-os-hardening

   回复

3. 常用密码的分析结果
   https://github.com/robsheldon/bad-passwords-index
   http://techcrunch.com/2015/02/10/a-security-researcher-just-dumped-10-million-real-passwords/

   回复

4. 如果 iPhone、iPad 或 iPod touch 丢失或失窃
   https://support.apple.com/zh-cn/HT201472

   回复

5. 我的通行你的证
   http://lvwei.me/passport.html
   `
   主流盗号的八十一种姿势

   密码类漏洞– 密码泄露、暴力破解、撞库、密码找回漏洞、社工库、钓鱼、爱情…
   登陆凭证被盗（ 最常见的cookie ）– xss攻击、网络泄露、中间人攻击
   其他漏洞– 二维码登录、单点登录、第三方登录、客户端web自动登录、绑定其他账号登录、跨域登录、oauth登陆漏洞…
   `

   回复

6. 如何看待支付宝 1 月 10 日被曝光的非密码登录模式下可能出现的账户安全风险？
   https://www.zhihu.com/question/54595683
   `
   不管是密码登陆还是找回密码，本质都是一个问题就是认证你是谁。而你是谁这个问题本质是一个概率问题。
   在做帐号安全的时候主要就是一句话「verify something you remember and verify something you have」。

   还有就是：
   对于每一个用户基数巨大的应用来说，你们每增加或者改变一个功能，都会影响到数亿用户，对此你们不应该心怀畏惧么？想一想自己决策的后果，不会因此而感到害怕吗？
   `

   回复

7. 使用Mitmproxy分析接口
   http://huoding.com/2017/01/22/593

   回复

8. 恶意软件分析套件
   https://github.com/ExpLife/Analysis-Tools
   `
   恶意软件自动化分析工具
   文档分析工具
   JavaScript分析工具
   系统&文件监视工具
   shellcode分析工具
   网络分析工具
   URL分析工具
   SWF分析工具
   内存取证分析工具
   调试器
   反汇编工具
   十六进制编辑器
   查壳工具
   DNS&IP信息搜集工具
   PE分析工具
   虚拟机镜像
   `

   回复

9. 谈谈软件供应链污染
   http://www.freebuf.com/special/129231.html
   `
   a) 谨慎下载免费软件，并使用虚拟机运行不明来源的软件，尽量从官网等正规渠道获取软件
   b) 操作系统中尽量使用非管理员账户
   c) 对于可疑电子邮件或图片保持警觉
   d) 不要轻信要求您下载软件的弹出窗口
   e) 安装使用防病毒软件
   `

   回复

10. 钓鱼范例集中营
    https://security.berkeley.edu/resources/phishing/phishing-examples-archive

    回复

11. zen-rails-security-checklist: Ruby on Rails 程序基线检查列表
    https://github.com/brunofacca/zen-rails-security-checklist

    回复

12. 国外数据泄露收集与查询平台
    https://www.sec-wiki.com/topic/70

    https://siph0n.net/leaks.php
    https://www.leakedsource.com/
    https://haveibeenpwned.com/PwnedWebsites
    https://canar.io/
    http://breachalarm.com/
    https://pwnedlist.com/
    https://archive.fbi.ninja/
    https://cryptome.wikileaks.org/frontpage
    https://cryptome.org/
    http://databases.land/
    https://vigilante.pw/

    回复

13. 社工库杂谈
    https://bbs.ichunqiu.com/thread-20469-1-1.html

    回复

14. 【安全意识】设置口令的一些小技巧
    http://blog.nsfocus.net/set-password-tips/
    `
    1、如何设置一个健壮又好记的口令(方法：口令短语+字符替换)
    2、多个账户使用不同密码，密码健壮又好记(方法：统一密码模板+不同用途后缀)
    3、密码定期更新技巧(方法：更换统一后缀)
    4、密码分级管理(把账户按重要性分为多级，不同等级的账户采用不同模板，如：设置金钱的为1级，不涉及金钱的为2级)
    `

    回复

15. 为了避免自己的隐私泄露，黑客们是如何使用电脑和互联网的？普通用户可以学着做哪些防范？
    https://www.zhihu.com/question/23378717

    回复

16. 如何成为好的恶意软件分析师
    http://www.hexacorn.com/blog/2018/04/14/how-to-become-the-best-malware-analyst-e-v-e-r/

    回复

17. 【技巧】情报分析之图片挖掘
    https://mp.weixin.qq.com/s/ZG5d_Hs7W3mQ0xgGI4YgDA

    回复

18. trape – 网络足迹追踪工具
    https://github.com/boxug/trape
    `
    目前支持下列服务：
    Facebook
    Twitter
    VK
    Reddit
    Gmail
    tumblr
    Instagram
    Github
    Bitbucket
    Dropbox
    Spotify
    PayPal
    Amazon
    Foursquare (new)
    Airbnb (new)
    Hackernews (new)
    Slack (new)
    `

    回复

19. 盘点9条网络安全工程师的上网习惯，赶快学起来
    https://mp.weixin.qq.com/s/bO_o1Sd_jVFDspeZPbhJgg
    `
    1、将电脑的摄像头贴上黑胶带；
    2、电脑显示器左上角贴一个反光镜，防止有人在背后偷窥；
    3、定期查找并抹除网上的个人信息；
    4、用密码管理器管理密码；
    5、娱乐休闲尽可能用匿名隐身模式，工作时再用常规模式；
    6、所有硬盘，包括外置硬盘，一定要用 FileVault 或者 Bitlocker 全盘加密；
    7、大量使用虚拟机，不信任的软件只在虚拟机中运行；
    `

    回复

20. 帐号和账号的区别!
    https://www.guokr.com/question/101511/
    `
    字典解释，”帐“可以同”账“用。但是还是用”账号“正规一点，也方便统一。
    `

    回复

21. Google服务替代品完整列表，2019-04更新
    https://bynss.com/2019/4105.html
    `
    谷歌搜索替代品
    Gmail替代品
    Chrome替代品
    Google Drive替代品
    谷歌日历替代品
    Google Docs替代方案
    谷歌相册替代品
    Google Plus替代方案
    谷歌翻译替代品
    YouTube替代品
    Google分析替代方案
    谷歌地图替代品
    Google Play商店替代产品
    谷歌Chrome操作系统的替代品
    Android替代品

    其他谷歌替代品
    `

    回复

22. Python–实现密码强度检测器
    https://blog.csdn.net/xushao_Movens/article/details/53844013
    https://www.shiyanlou.com/courses/712
    https://raw.githubusercontent.com/danielmiessler/SecLists/master/Passwords/10k_most_common.txt
    `
    密码强度如何量化呢？
    一个密码可以有以下几种类型：长度、大写字母、小写字母、数字以及特殊符号。
    显然，密码包含的特征越多、长度越长，其强度也就越高。

    我们设置几个等级来评测密码强度，分别是：terrible, simple, medium, strong。

    不同的应用可能对密码强度的要求不一样，我们引入最小程度(min_length)和最小特征数(min_types)，作为可配置选项。

    #长度是否满足要求
    is_regular() #是否「键盘走位」的密码
    is_by_step() #是否「顺序增长」的密码
    is_common() #是否「网络是常用」的密码
    `

    回复

23. 备份工具：restic
    https://github.com/restic/restic
    `
    Restic 是一个备份系统，用来备份文件：

    * 支持 Linux、BSD、Mac 和 Windows 系统
    * 支持多种存储类型，自托管的或者是线上服务
    * 易用，不需要复杂的安装过程
    * 高效，只备份文件中变更过的部分
    * 安全加密
    * 校验系统
    * 免费
    `

    回复

24. 本周话题：如何防止帐号被黑
    http://www.ruanyifeng.com/blog/2022/08/weekly-issue-219.html
    `
    上周有一起安全事件。两家著名的美国互联网公司—-Twillo 和 Cloudflare—-被攻击了，前者还被攻破了。

    这两家都不是普通公司，技术很强，都采用了”双因素认证”，但还是被有效攻击了。它们事后披露了一些细节，我觉得值得谈一下，聊聊怎么保护帐号安全。

    首先，有一点应该是共识：密码是不安全的，一定要启用双因素认证。

    大部分的互联网密码都已经泄漏了。地下的黑产出售很全的数据库，一查邮箱或手机号，密码就出来了。你不妨认定，自己的密码已经泄漏了。如果为每个网站设置不一样的密码，情况可能会好一点，但也无法保证某个账号就是安全的。

    任何一个重要账号，都应该打开”双因素认证”（two factor authentication，简写 2FA），即除了密码，再多一种认证。即使如此，也必须非常小心，因为 “双因素认证”也可能被破解。

    一种常见的”双因素认证”就是密码 + 短信。每次登录时，除了密码，还会发一个短信验证码。它的风险在于短信是不加密的，而且国内有过不少案例，罪犯拿着伪造的身份证去挂失，办了一个相同号码的 SIM 卡，顺利收到验证码。

    另一种新兴的”双因素认证”是密码 + 人脸识别。它的风险在于，国内的很多方案采用身份证照片与人脸比对，这很不安全。已经有新闻报道，银行的人脸识别被破解，储户的存款被转走。

    公认较安全的”双因素认证”是密码 + TOTP 时间码。你在手机安装一个专门 App（比如 Google Authenticator 或 Authy），输入网站提供的密钥，就会每30秒生成一个6位时间码。

    但是，上周的安全事件，恰恰就是 TOTP 时间码被攻破了。下面就来说说，这是怎么发生的。

    事情的起因是，Twilio 和 Cloudflare 的员工，在下班后或者休息日收到了一条手机短信。大意是，公司日程有调整或者你的登录信息过期了，请点击链接，到后台查看。它给出了一个公司名称加”sso”或者”okta”这样的钓鱼域名，警惕性不高的员工就会点击。

    读者可能会问，攻击者如何得知员工的手机号码。这在美国不是难事，LinkedIn 网站上就往往可以查到。

    员工点击链接以后，就会进入钓鱼网站（下图），跟真正的登陆页一模一样。只要填入用户名和密码，它们就立刻泄漏，脚本自动把它们发送到服务器。

    但是，这两家公司都开通了”双因素认证”，光有密码还进不去后台，所以钓鱼网站会把你引导到 TOTP 时间码的页面。

    这时，只要你输入了时间码，它就自动发送给攻击者。由于时间码的有效期只有30秒，这次攻击最绝的地方在于，攻击者是实时攻击，只要一拿到时间码，就立刻在真正的登录页输入，从而进入后台。

    可以这样说，大部分公司的双因素认证，都会被这种方式攻破。但是，Cloudflare 这一次没有被攻破，原因是他们的后台没有采用时间码，而是采用了物理密钥（下图）。只有把物理密钥插入计算机，才能登陆后台。攻击者拿不到物理密钥，自然就无法攻破。

    所以，这个事件的教训就是，目前最安全的认证方法应该是密码 + 物理密钥。事实上，从很早以前，银行就给客户发物理密钥，进行大额转账。

    问题在于，物理密钥的价格较高，便宜的也要一两百元人民币，普通用户不可能购买。好在 Web Authentication 技术正在推广，它允许把手机当作物理密钥，或者网站可以调用本机的指纹识别（或人脸识别)进行认证。

    **对于大多数人来说，目前阶段如果没有物理密钥，保护账户安全的最佳实践无非就是这么几点：坚持使用双因素认证，不同网站使用不同密码，不在可疑网址输入密码。**
    `
    https://www.twilio.com/blog/august-2022-social-engineering-attack
    https://blog.cloudflare.com/2022-07-sms-phishing-attacks/

    回复

25. 这45个账号安全风险，你check了吗？
    https://mp.weixin.qq.com/s/RzDHjRbw6DnQxig_QFxV7Q
    `
    信息化时代，大部分平台都需要通过账号登录才可体验更多功能，近些年为方便用户操作，平台演变出了扫码登录、第三方授权登录等多种登录方式，同时也为攻击者打开了更大的攻击面。
    账号包含着各种重要信息如个人手机APP账户、网站账户、银行卡账户密码等，是黑产眼中的“香饽饽”。

    永安在线情报平台监测过多起黑产利用账号缺陷发起规模攻击，如扫号攻击、撞库攻击、盗号登录等，最终达到窃取敏感数据、资金盗取、网络诈骗、薅羊毛等目的。因此，加强账号安全管理，是企事业单位业务和数据安全保障的第一道屏障。
    为此，猎人君为大家梳理了45个账号安全风险点，方便大家在账号安全管理中查缺补漏，从而建立更加全面的账号安全体系。

    账号安全风险checklist

    安全场景 安全风险 危害性 普遍性 可利用性

    # 密码登录

    ## 账号
    1.账号可枚举 低 高 高
    2.默认账号 低 高 高

    ## 密码
    3.撞库 高 中 中
    4.钓鱼 高 高 中
    5.弱密码 高 高 高
    6.万能密码 高 低 高
    7.密码明文传输 高 中 低
    8.密码在URL中 高 低 低
    9.密码明文存储 高 低 低
    10.API泄露密码 高 低 高

    ## 验证码
    11.图形验证码失效 低 低 高
    12.滑块验证码失效 低 低 高
    13.不同端验证码策略不一致 低 低 高
    14.验证码可复用 低 低 高
    15.使用老接口 低 高 中

    # 短信验证码登录
    16.验证码位数过短 高 中 高
    17.验证码有效期过长 中 低 低
    18.验证码在响应中泄露 高 低 高
    19.验证码由客户端生成 高 低 高
    20.测试验证码未删除 高 低 中
    21.验证码与手机号未绑定 高 低 高

    # 扫码登录
    22.扫码授权登录CSRF 高 低 中
    23.凭证窃取 高 低 中

    # 第三方授权登录
    24.凭证窃取 高 低 中

    # 单点登录
    25.凭证窃取 高 低 中

    # 修改密码
    26.修改密码CSRF 高 低 中
    27.修改密码越权 高 低 高

    # 忘记密码
    28.任意用户密码修改 高 低 高

    # 账号绑定
    29.账号绑定CSRF 高 低 中

    # 多因子认证
    30.双因子认证绕过 高 低 中
    31.双因子认证爆破 高 低 低

    凭证 安全风险 危害性 普遍性 可利用性

    # COOKIE
    32.COOKIE未设置HTTPONLY 低 低 中
    33.COOKIE未设置SECURE 低 低 低
    34.会话固定 低 低 中
    35.不同端COOKIE策略不一致 低 低 低
    36.API泄露COOKIE 高 低 高
    37.APP漏洞导致COOKIE被窃取 高 低 中

    # JWT
    38.弱密钥 高 中 高
    39.密钥泄露 高 低 高
    40.未校验签名 高 低 高
    41.空加密算法 高 低 高
    42.JWK参数注入 高 低 高
    43.JKU参数注入 高 低 高
    44.KID参数注入 高 低 高
    45.算法混淆 高 低 中
    `

    回复

26. 家人的 Apple ID 开了双重认证，仍然被钓鱼，求大佬解惑，也顺便给大家提个醒
    https://v2ex.com/t/959041
    `
    感谢各位大佬，目前差不多搞清楚对方是如何绕过双重认证的：
    对方在 App 内置了一个 Webview ，然后访问 appleid.apple.com/sign-in ，这一步系统会出现 Apple ID 的弹窗，如果人脸识别通过了或者输入了正确的密码，这个页面就登录了（可以理解为在内置的 safafi 打开了 Apple ID 的登录页面）。

    接下来会出现密码弹窗，受害者输入密码之后，这个 Webview 可以注入一些 js 获取到 Cookie ，然后访问 appleid.apple.com/account/manage ，通过一些自动接收验证码的机制，配合 Cookie 和密码，就可以在受害者 Apple ID 的信任号码中加入他自己的号码，用来接收双重认证的短信。
    ==

    受害者启动应用后看到登录画面，误以为是授权应用登录
    ↓
    受害者如果没有仔细观察或无意识就会通过 SSO 登录到 appleid.apple.com
    ↓
    弹出虚假的密码输入窗口骗取受害者密码
    ↓
    攻击者取得受害者 Cookies 并添加自己的手机号码到信任手机
    `

    新型 Apple ID 诈骗：有双重认证仍被钓鱼。附一个可能的预防小技巧
    https://www.appinn.com/apple-id-2fa-login-tips/
    `
    昨天 V2EX 有一个帖子《家人的 Apple ID 开了双重认证，仍然被钓鱼，求大佬解惑，也顺便给大家提个醒》，详细描述了一个新的诈骗过程：在 Apple ID 开通双重认证的情况下，被高仿的李鬼 App 诱骗出密码，并被添加信任号码、家庭共享，再通过家庭共享成员完成消费。但整个过程中，原设备并未出现新设备登录时需要的双重认证验证码，也就是说双重验证并未起作用。

    ==
    看到 v2ex 这个被骗的热贴，跟大家分享下我一直在用的小技巧分辨是否在被钓鱼：

    我每次看到让输入 Apple ID 密码的弹窗都会用 Home手势/键 尝试关一下，如果关不了说明是 iOS 系统弹的，可以输入密码。如果能关掉，那肯定是 App 伪装的弹窗要骗你密码。
    `

    回复

27. iPhone今天这个大漏洞，让人打开App就被盗刷一万五。。。
    https://mp.weixin.qq.com/s/G55w5UakMUcuhWyUPaHFYQ
    `
    众所周知，苹果一直在宣传自己的安全、隐私、可控。
    而且在过去，它也足够的安全。
    但世界上也没有绝对坚固的墙，大家也别因为这样，就彻底放松警惕。
    因为今天，它就翻车了。。。

    事情是这样的，一个网友的丈母娘被 App Store 应用商店里的 “骗子 App” 骗走了一万五千元。
    直到目前，他们被盗刷的钱都没能追回。
    而我在复盘完事情的完整经过之后发现，其中两个重要环节，都是苹果出现了问题。
    但凡苹果在这两个环节中的任何一个环节有安全措施，也不至于让骗子得逞。

    简单来说，苹果浏览器框架的安全策略出了问题。

    事情大概是这么回事：我们都知道，不管是 iPhone，还是安卓手机，系统里都会有一个预装的默认网页浏览器对不对。
    比如 iPhone 上就是 Safiri，安卓这边则是各家的自带浏览器。
    但这其实只是表面上的浏览器。
    但其实，再往系统底层找，还有一个“没有图标”的浏览器框架：WebView。

    这个 “ 浏览器框架 ” 不能被普通用户在手机里直接点开，它存在的意义，是供其他 App 调用的。

    我们举个例子，就比方说美团、滴滴他们经常在 App 里搞领券的活动，对于这种临时的活动页面一般就是写个网页。
    这些 “ App 内的网页 ”，实际上都不是 App 本身在渲染，而是美团和滴滴拉起了系统里的 WebView 组件来进行渲染的。
    这个组件其实帮了开发者很大的忙，假如没有 WebView 浏览器框架的话，包括美团和滴滴在内的所有 App 开发者，都得往 App 里再额外集成一个独立的浏览器内核。

    表面上，是一个菜谱 App，而在它的内部，隐藏了一个正在访问 Apple ID 官网、并准备篡改用户接收验证短信手机号的浏览器界面。

    按照苹果 Apple ID 官网目前的安全逻辑，只有一开始的账号登录环节需要下发验证码做双重验证。

    而这最开始的一步，骗子已经通过 WebKit 的便捷登录绕过去了。

    已经处于登录状态的情况下，只要输固定的账号密码，就可以直接添加新的验证手机了。

    现在相信大家已经彻底搞明白背后是怎么一回事儿了，这时候我们再重新回看故事的全貌：

    “ 菜谱大全 ” 先是在表层界面的下面，隐藏了一个 WebView 浏览器组件，然后利用它系统级的 “便捷登录” 能力，进入了 Apple ID 官网。

    接着，它给用户弹出了一个密码输入框，用来搞定添加验证手机的最后一步障碍。

    拿到密码之后，App 就会偷偷跑起添加新验证手机的自动脚本，这时候受害者的苹果账号就已经不属于自己了。

    什么时候发起攻击，全看黑客心情了。
    ==

    和苹果不同，谷歌根本不允许系统的 WebView 组件使用 “便捷登录” 技术。
    但是在苹果系统里，不管是调用 WebView 的 Via，还是真正的自带浏览器 Safari，都能调用便捷登录。

    再搭配上 App Store 的审核漏洞，一锅好菜就出炉了。。。

    ==
    严格来说，这对于 iOS 系统来说也算是一个漏洞 —— 它不是代码漏洞，而是一个逻辑漏洞。

    骗子利用苹果开放的便捷登录能力，伪装了自己一波，再利用一点点社工技巧，就把钱骗到手了。

    由于系统逻辑漏洞造成的问题，正确的解决方式应该是着手准备 OTA 补丁，同时帮着受骗的用户追回损失。
    ==
    相信很多给家长买 iPhone 的小伙伴，都是希望家长尽可能不被骗。

    但我觉得，我们还是要告诉他们即便是 iPhone，即便是 App Store，也不能保证绝对安全。

    不随便输密码、不给所有 App 用一模一样的密码是最后的底线。

    千万记得叮嘱他们，免密支付能不开就不开。如果开了的话，免密支付的卡里面也不要放太多的钱。
    `

    回复

28. 谷歌继续增强Gmail安全性 登录后进行敏感操作时仍需要校验2FA验证码
    https://www.landiannews.com/archives/99972.html
    `
    2022年谷歌率先面向 Google Workspace 账号推出敏感操作额外保护，用来大幅度提升敏感数据的安全性。

    现在这些安全措施也面向普通用户推出，主要是针对Gmail邮箱的，在执行敏感操作时还需要额外安全验证。

    这些额外安全验证是自动化的，即当谷歌认为这个操作有风险时就会弹出验证 , 只有验证2FA才可继续访问。

    不过对普通用户来说这可能略微有些麻烦，但只要用户已经启用两步验证就会升级这些额外的安全保护措施。

    # 包含哪些额外验证：

    搜索过滤：若要使用邮箱的搜索过滤器功能，则存在风险时会弹出额外验证，用户只有成功验证后才能过滤。

    转发验证：当用户从邮件转发功能和POP/IMAP设置中添加新的转发地址时，则也会触发验证需要额外验证。

    IMAP访问：若用户要在设置中启用 IMAP 连接需要额外验证，Workspace版管理员可以控制是否允许设置。

    额外说明：以上功能与谷歌账户登录的两步验证不冲突，即成功登录谷歌账户后若进行敏感操作则仍要验证。

    # 验证原理和设置：

    以上额外的安全验证没有用户端设置，也就是只要用户已经绑定两步验证程序后这就是自动开启的无法关闭。

    谷歌强烈建议所有用户绑定两步验证，这不仅可以大幅度提升账号安全性，也可以提升敏感资料的安全性等。

    至于验证原理：只有谷歌安全系统检测到风险才会弹出验证，例如用户在异地登录或者在新电脑上进行操作。

    一旦弹出验证后用户必须成功完成验证，倘若验证失败不仅无法继续操作，用户受信设备还会收到自动警报。

    所以当用户收到提醒说自己在邮箱中验证失败但又不是自己操作的，说明你的账号被盗或者有人在恶意操作。
    `

    回复