一個真實故事

背景

妹子把手機丟了...是在上公交車時，妹子第二個上車，頭一個上去的黑色羽絨服男上車后問師傅是否去XX地，師傅說不去，黑羽絨服男就又擠下了車。上車坐定一會，妹子就發(fā)現(xiàn)手機不見了。再打關(guān)機。妹子說上車前確定手機還在 ，可以肯定就是那個黑衣服男偷得。

之后補卡，改密碼等等善后事宜暫且不表。且說說后續(xù)一些列發(fā)展引起我對互聯(lián)網(wǎng)安全的思考。

開端

用iphone手機的用戶都知道，一個iphone由一個appleid激活，如果不進行反激活，是無法登陸其他appleid的。所以妹子就打開了丟失模式。當丟失的手機打開聯(lián)網(wǎng)時定位并且鎖定。小偷不知道appleid的密碼，就無法解鎖手機，也就無法轉(zhuǎn)手賣出。

頭幾天鳥無音信。

在一兩周后，妹子郵箱接連收到郵件，內(nèi)容大概是:

您的iphone正在嘗試解鎖刷機，如果是您操作，請忽略; 如果不是您操作，請登錄Apple ID 服務(wù)中心進行取消操作。該操作將在12小時后被允許。

署名是 Apple ID Service。

還好妹子是對這種事情無從下手，問我怎么辦，我比較警惕，說轉(zhuǎn)發(fā)給我，我接到后打開，發(fā)現(xiàn)這個郵件的格式和內(nèi)容很正式。但是很明顯有以下幾個問題:

1. 郵件來源地址不是apple.com，而是一個其他的地址。
2. 郵件中登陸Apple ID 中心的鏈接也不是官方的。

打開這個鏈接，是個和查找 iphone登錄界面完全一樣的頁面。當然，這是個偽造的釣魚網(wǎng)站，如果妹子自己打開這個并輸入了appleid和密碼，那么賬號密碼就已經(jīng)陷落了。

注意: 如果是手機郵箱，那么發(fā)件人的地址默認是隱藏的。而且，打開鏈接后網(wǎng)頁的url也是隱藏的。所以，如果是手機打開郵件，很難分辨真假。

可見，被偷iphone手機，由于其激活機制的特殊性，產(chǎn)生了一條很色的產(chǎn)業(yè)鏈:

小偷 -> 網(wǎng)絡(luò)詐騙技術(shù)者

小偷偷到手機后，無法解鎖，只能賣給下線。下線是大型的收購商，來收購被偷的iphone，然后進行批量的郵件進行釣魚，騙取密碼解鎖手機。

于是我告訴妹子，這種郵件都不要亂點，不要輸入你任何信息。

繼續(xù)

陸續(xù)幾天，還是有同樣的偽造刷機警告發(fā)來，妹子都置之不理。直到開始受到新的類型的郵件，大概內(nèi)容:

你的手機在我們公司，我們無法解鎖，所以按照我們的收購價800塊賣給你。請看圖片，店鋪地址。

妹子經(jīng)過上一波教訓(xùn)，已經(jīng)對互聯(lián)網(wǎng)有一定的畏懼心理，所以絲毫沒動，轉(zhuǎn)發(fā)給我。

我收到后打開，明顯的，日然是來歷不明的郵箱地址。而且，店鋪地址的鏈接也是來歷不明的。

雖然是來歷不明的鏈接，我還是想點進去看看，于是，我進行了點擊。結(jié)果是:

空白頁面...

為什么是空白頁面呢，怎么不是釣魚網(wǎng)站了? 于是我打開chrome開發(fā)者模式，重新打開鏈接，有很多請求，我意識到，這可能是xss攻擊。

有一個XXX.qq.com域名的請求，中間進行了重定向，然后又發(fā)送一個特殊url的請求，這個url暫不公開，可以假設(shè)為 xsssite.net

因為妹子的appleid用的是qq郵箱。所以如果對qq.com域名下的一個網(wǎng)頁注入腳本的話，當用戶打開這個網(wǎng)頁，很可能能拿到這個用戶的登錄信息.

由于這次我是從轉(zhuǎn)發(fā)的郵件打開的鏈接，所以泄露的是我的登錄信息，所以并無大礙。(跨站腳本只是獲取了你的登錄狀態(tài)，能夠一段時間內(nèi)偽造登錄狀態(tài)，而并不是獲取了你的密碼)

xsssite.net這個域名的請求包含的很多內(nèi)容，且這個網(wǎng)站就是一個xss攻擊的平臺。關(guān)于這個xss攻擊位置，如何獲取登錄狀態(tài)，傳遞了哪些信息，我還尚未去詳細查看，以后分享給大家。

我很感嘆，這個產(chǎn)業(yè)鏈遠比我想象的發(fā)達:

小偷 -> 網(wǎng)絡(luò)詐騙技術(shù)者 -> 黑客

結(jié)果

后來，由于一些事情，還是在妹子的登錄狀態(tài)打開一個這種連接，對方登陸了妹子的郵箱，從而重置了appleid密碼，當然期間有apple的郵件，但是妹子以為是假的，直接忽略掉了。我沒有及時得到消息，還是讓對方得逞了。

故事之后的反思

前面講了妹子的遭遇，我又想起近幾年幾次密碼泄露，信息泄露的事件，深感互聯(lián)網(wǎng)安全非常重要，豺狼虎視眈眈，但是絕大多數(shù)人絲毫沒有防范意識。所以我想了一些關(guān)于互聯(lián)網(wǎng)安全的知識，提示，以及應(yīng)對措施。給大家普及一下。

互聯(lián)網(wǎng)危險到何種程度

請看烏云網(wǎng)，白客們所發(fā)現(xiàn)的各種系統(tǒng)漏洞。觸目驚心。

幾年前csdn的數(shù)據(jù)庫泄露事故，余威猶在。后續(xù)幾次京東，7k7k等網(wǎng)站的大量用戶密碼泄露都是這次事故的后遺癥。

黑色產(chǎn)業(yè)鏈早已超乎你我的想象。道高一尺魔高一丈。你的一切都時時刻刻被攻擊者盯著，不要有僥幸心理。

關(guān)于密碼

1. 密碼與社會工程學(xué)

>社會工程學(xué): 一種通過對受害者心理弱點、本能反應(yīng)、好奇心、信任、貪婪等心理陷阱進行諸如欺騙、傷害等危害手段取得自身利益的手法。

舉個例子，最簡單的社會工程學(xué)案例，就是根據(jù)你的生日來推測你的銀行卡密碼。根據(jù)人們慵懶的習(xí)慣，嘗試`123456`，`asd123`，`abcd` 等方便輸入的習(xí)慣來推測你的密碼。所以說，根據(jù)你的個人信息，比如生日，身份證號，門牌號，親友生日，名字拼寫，短語拼寫等任何對你有意義的字符序列，都會被認為是你的潛在密碼。依靠計算機的自動化，計算效率，可以不停的對大量的用戶數(shù)據(jù)進行嘗試破解。

**所以我們應(yīng)該避免使用和自身信息有關(guān)的密碼**

2. 安全并不在你的掌握之中

使用隨機的，比較復(fù)雜的密碼，就可以確保賬號安全了么? 很遺憾，不是的。

因為你的密碼不僅僅是你自己要保管，你所注冊的網(wǎng)站，應(yīng)用也需要保管。所以，你所使用的網(wǎng)站，應(yīng)用是否在安全上做足了必要的功夫，是很重要的。

前幾年CSDN數(shù)據(jù)庫泄露，大量用戶資料被盜，令人震驚的是他們的密碼是明文的....

根據(jù)用戶們懶惰的習(xí)慣，不愿意記很多密碼，于是可以假設(shè)用戶們都喜歡用同一套用戶名密碼來登陸所有網(wǎng)站，應(yīng)用。一時間，大量網(wǎng)站，應(yīng)用被撞庫成功。

原則上，網(wǎng)站是不會保存明文密碼的，他們所保存的是對你的密碼進行不可逆加密后的密文，每次你登陸輸入密碼，網(wǎng)站會對輸入的密碼進行同樣的不可逆加密，然后與保存的密文進行對比來驗證正確性。這樣在網(wǎng)站數(shù)據(jù)庫泄露時，用戶密碼至少不會以明文顯示在盜竊者面前。

同時，網(wǎng)站也不應(yīng)該僅僅用md5簡單加密。如今對于簡單通用的加密手段，黑客已經(jīng)有數(shù)量龐大的樣本來進行比較，所以，簡單通用加密的效果已經(jīng)接近明文了。所以，加密時加入隨機的salt，是常用的方法。

**避免所有賬號都是同一密碼。可以簡單分成幾級賬號密碼，你的關(guān)鍵應(yīng)用比如qq號，支付寶，郵箱等的密碼，一定不要與注冊小網(wǎng)站的密碼一樣。**

**不要輕易進行注冊，尤其對于小網(wǎng)站，他們的技術(shù)相對于薄弱，安全工作做得不夠。建議小網(wǎng)站都使用第三方認證的方式**

3. 二步驗證

在輸入密碼后，需要再進行一次密碼驗證。

> One Time Password: 一次性密碼，每個密碼只在一次，或者很短的時間內(nèi)有效。下次登錄或認真，就會用不同的密碼。

這個已經(jīng)非常常見了，比如常見的手機驗證碼，暴雪戰(zhàn)網(wǎng)的安全令牌。

如果你的賬號可以開通二步驗證，強烈推薦開通，雖然每次耽誤點時間，但是可以對你的賬號進行非常好的保護。

**Apple ID，Google賬號，QQ郵箱(使用qq安全中心) 等都支持二步驗證，建議都去開通一下吧**

關(guān)于常用郵箱

1. 你的安全老巢

你的郵箱有多重要? 如果你的郵箱被別人登陸:
1. 首先，你的個人信息被別人一覽無余。而且，有的同學(xué)還喜歡用郵箱來作為記事本。
2. 可以隨時重置你的各種網(wǎng)站，應(yīng)用的密碼!

2. 獨立密碼

如果你使用網(wǎng)易，QQ，新浪等不管是什么郵箱，要設(shè)置獨立密碼! 如同妹子郵箱被登錄的教訓(xùn)。如果你在網(wǎng)易，QQ，新浪的賬號登錄狀態(tài)被xss攻擊獲得，那么攻擊者可以直接進入你的郵箱!

這些大網(wǎng)站，大企業(yè)的安全做得很好不用擔心? 我承認，這些大企業(yè)的核心業(yè)務(wù)是沒有問題的，關(guān)鍵在于這些企業(yè)家大業(yè)大，設(shè)計的方面非常多，部門也非常多，甚至分布在不同的地點，所以不可能所有的地方都能做好安全措施。妹子這個例子中，應(yīng)該是QQ的大粵網(wǎng)中論壇的漏洞，被進行了xss攻擊。

話說回來，林子大，什么鳥都有，你不能保證這些企業(yè)當中有黑客的存在。就像你找人做了個保險箱，你不能保證這個人是不是留了一把鑰匙，或者在保險箱你不知道地方做了個機關(guān)。尤其對這些企業(yè)的非核心業(yè)務(wù)的技術(shù)人員，并不事都是經(jīng)過嚴格考核進來的。

3. 不要輕易在瀏覽器中從郵箱中打開連接

切記，郵箱中的不確定連接不要輕易就打開，尤其實在瀏覽器環(huán)境下使用郵箱的時候。預(yù)防xss攻擊。

如果打開鏈接，發(fā)現(xiàn)有異常，查看請求記錄，如果有疑似xss攻擊，果斷退出登錄狀態(tài)，修改密碼。然后把該鏈接提交給出現(xiàn)漏斗的網(wǎng)站。(技術(shù)工作者)

**如果要在瀏覽器中打開鏈接，請使用"隱身窗口中打開"，據(jù)我所知Chrome，以及使用Chrome內(nèi)核的瀏覽器基本都支持**

關(guān)于手機號

1. 你的安全命門

當你的手機丟了，第一件事，補卡。讓丟失的卡不能再使用。

當你的手機落入別人手中，又能正常使用，那么它可以使用很多應(yīng)用的二步驗證。

作為一些應(yīng)用的密保手機，它能夠充值你這些應(yīng)用的密碼。

**手機丟了先補卡**