[原创]防盗库的终极解决方案-账号黑盒子云-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]防盗库的终极解决方案-账号黑盒子云

发表于: 2012-4-6 12:27 27874

[原创]防盗库的终极解决方案-账号黑盒子云

kvllz

2012-4-6 12:27

27874

账号黑盒子介绍
一、原理简介
创意来源于飞机的黑盒子概念，用最安全的方式保护最关键的核心资产。应用我的WEB安全体系的基础理论，对外界提供唯一端口的单向密码输入认证服务。因为密码的单向输入有进无出保证了密码数据的安全性，可以100%的抵御网上的拖库入侵。即使是在机房物理连接到主机也不能通过任何接口获得账号和密码的数据。同时输入的密码保存了大量的散列数据可以供多个平台调用验证，也可以应用在网上交易类的网站，单向保存信用卡的特殊信息。可以彻底的防止信用卡信息盗取的问题不仅在国内具有很大的市场，国外的各个领域也可以广泛应用。使用云技术分布也可以做成云的安全产品。

二、应用的软件及相关技术
系统平台使用centos手工进行商业化精简及安全加固，预计额外软件包使用nginx、redis、tornado。因为世界上redis最大规模的应用是新浪微博，每天产生上亿条信息都可以正常运行，所以我们数据的并发调用上不存在问题。根据经验服务器上起一个实例大概可以承担1000多的qps，一般服务器可以起内核数量×2的实例数。按普通服务器2个四核cpu就可以承担2*4*2*1000=16000的qps，即单机可承担16000的链接数，如主机性能提升或多设备集群可以承担目前已知的任何网站的正常峰值访问。

三、完成后SDK功能简介
1.注册用户（uid只能是数字，考虑到新浪或者其他网站有各种各样的验证方式邮箱，ID，用户名等，让应用自己去存email，用户名和id的对应关系，我们这只用ID来做所有操作）
curl -X POST "http://XXXXXX.com/kvllz/user_create?uid=1111&password=1"
2.验证(支持明文/MD5/SHA1三种方式）
curl -X POST "
http://XXXXXX.com/kvllz/user_check?uid=1111&func=password&password=1"
curl -X POST "
http://XXXXXX.com/kvllz/user_check?uid=1111&func=md5&password=c4ca4238a0b923820dcc509a6f75849b
"
curl -X POST "
http://XXXXXX.com/kvllz/user_check?uid=1111&func=sha1&password=356a192b7913b04c54574d18c28d46e6395428ab
"
3.修改密码：(验证支持明文/MD5/SHA1三种方式，新密码必须传明文）
curl -X PUT "
http://XXXXXX.com/kvllz/user/1111?func=password&password=1&field=password&value=2
"
curl -X PUT "
http://XXXXXX.com/kvllz/user/1111?func=md5&password=c4ca4238a0b923820dcc509a6f75849b&field=password&value=2
"
curl -X PUT "
http://XXXXXX.com/kvllz/user/1111?func=sha1&password=356a192b7913b04c54574d18c28d46e6395428ab&field=password&value=2
"
4.修改信息：（验证支持明文/MD5/SHA1三种方式）
curl -X POST "
http://XXXXXX.com/kvllz/user/1111?func=password&password=1&field=gender&value=1
"
5.获取其他信息（验证支持明文/MD5/SHA1三种方式）
curl -X GET "
http://XXXXXX.com/kvllz/user/1111?func=password&password=1&field=gender"

登录后可查看完整内容

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

收藏・6

免费・7

支持

最新回复 (25) 1 2 ▶
yzxdev 雪币： 165 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 118 粉丝 0 关注私信	yzxdev 2 楼 3.修改密码：(验证支持明文/MD5/SHA1三种方式，新密码必须传明文）嗅探行不 2012-4-6 12:34 0
kvllz 雪币： 703 活跃值： (327) 能力值： (RANK：380 ) 在线值：发帖 48 回帖 469 粉丝 3 关注私信	kvllz 8 3 楼理论上可以嗅探新用户，因为进来的是哈希，获得哈希的意义不大。另外要是web使用我的web安全模型理论，想进来嗅探应该也很困难。呵呵 2012-4-6 12:38 0
edline 雪币： 639 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 62 粉丝 0 关注私信	edline 4 楼这个看得不太明白... 2012-4-6 13:41 0
ProbieTmp 雪币： 144 活跃值： (42) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 35 粉丝 0 关注私信	ProbieTmp 5 楼本来写了一大串，想想算了，何必呢,就说一句话吧. 我觉得咱们做计算机安全行业的,还是不要动辄就说100%. 2012-4-6 14:46 0
wine 雪币： 49 活跃值： (155) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 23 粉丝 0 关注私信	wine 6 楼看来搞安全的还要会忽悠 2012-4-6 15:22 0
donpps 雪币： 199 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 15 粉丝 0 关注私信	donpps 7 楼即使是在机房物理连接到主机也不能通过任何接口获得账号和密码的数据。那么如何访问数据呢！ 2012-4-6 15:54 0
邓韬雪币： 278 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 265 回帖 1670 粉丝 1 关注私信	邓韬 9 8 楼有攻就有防，有防就有攻，关键是要看动力。 2012-4-6 17:13 0
tihty 雪币： 27 活跃值： (127) 能力值： ( LV8，RANK：120 ) 在线值：发帖 29 回帖 1095 粉丝 3 关注私信	tihty 2 9 楼什么什么，好像很牛X的名字。 2012-4-6 17:25 0
小调调雪币： 3292 活跃值： (3341) 能力值： ( LV4，RANK：40 ) 在线值：发帖 26 回帖 380 粉丝 19 关注私信	小调调 10 楼那只模拟发包登入呢? 2012-4-6 17:28 0
kvllz 雪币： 703 活跃值： (327) 能力值： (RANK：380 ) 在线值：发帖 48 回帖 469 粉丝 3 关注私信	kvllz 8 11 楼拖库的100%抵御，这个不是瞎编的也不是过于绝对的说法。因为接口只有一个端口开放，就是你人在机房也拿它没办法，无键盘接口无其它公共接口。内部定义的硬件接口，如果应用数据加密存储就是主机给你，你也脱不出库来。当然你说的不要百分百还是有道理的，我这也只是夸张一下。不是100%也差不多99%了，因为这个当初给要投资人评估所以写的大了一些，懒得改了。呵呵 2012-4-6 18:06 0
kvllz 雪币： 703 活跃值： (327) 能力值： (RANK：380 ) 在线值：发帖 48 回帖 469 粉丝 3 关注私信	kvllz 8 12 楼不访问数据只是把账号和密码的哈希发过来接口比对后返回是真还是假 2012-4-6 18:09 0
kvllz 雪币： 703 活跃值： (327) 能力值： (RANK：380 ) 在线值：发帖 48 回帖 469 粉丝 3 关注私信	kvllz 8 13 楼如果在内网里模拟发包理论是没有问题的，关键这个东东抵御的是你把所有账号打包偷走的风险。个别账号盗用和欺骗不再这个产品的考虑范围，你说的这些要在交互的前端做抵御。 2012-4-6 18:12 0
ProbieTmp 雪币： 144 活跃值： (42) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 35 粉丝 0 关注私信	ProbieTmp 14 楼希望在没有违反 XX协议的情况下，再次的详细描述一下，安全环境,这样才能够和你深入的讨论.你懂的。 2012-4-6 18:56 0
gamehacker 雪币： 131 活跃值： (98) 能力值： ( LV5，RANK：60 ) 在线值：发帖 12 回帖 334 粉丝 2 关注私信	gamehacker 1 15 楼忽悠，接着忽悠………… 2012-4-7 13:33 0
仙果雪币： 1491 活跃值： (985) 能力值： (RANK：860 ) 在线值：发帖 68 回帖 1507 粉丝 67 关注私信	仙果 19 16 楼希望能更详细说下，完全不明白 2012-4-7 17:19 0
壹只老虎雪币： 112 活跃值： (16) 能力值： ( LV9，RANK：290 ) 在线值：发帖 38 回帖 709 粉丝 3 关注私信	壹只老虎 7 17 楼神器，强烈支持！ 2012-4-8 11:27 0
笨奔雪币： 415 活跃值： (34) 能力值： ( LV5，RANK：60 ) 在线值：发帖 11 回帖 748 粉丝 1 关注私信	笨奔 1 18 楼看的一头雾水啊。 2012-4-9 19:44 0
isno 雪币： 358 活跃值： (63) 能力值： ( LV8，RANK：130 ) 在线值：发帖 3 回帖 27 粉丝 1 关注私信	isno 3 19 楼人家没必要买你产品，自己把密码库独立出来做个加固基本就OK 但最主要的问题是，那些网站根本没把脱裤当回事，所以你这产品注定没啥市场 2012-4-10 14:01 0
pighead 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 18 粉丝 0 关注私信	pighead 20 楼是的产品的市场不大盗库的目的是洗钱问题是官方发现洗钱很简单就可以回滚这个周期决定了盗库的收益 2012-4-12 04:26 0
dfsy 雪币： 177 活跃值： (141) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 39 粉丝 0 关注私信	dfsy 21 楼硬件接口的想法不错，安全系数很高，不过成本也高。要调用的数据就不方面了中小企业一般建议以软件的形式封装加密关键信息，如用户的手机号、密码、真实姓名等。封闭接口再做一轮安全设计(我的设计是报警机制)。。当然这个不如DIY硬件接口的安全性高 2012-4-16 07:14 0
missdiog 雪币： 364 活跃值： (61) 能力值： ( LV3，RANK：30 ) 在线值：发帖 2 回帖 41 粉丝 2 关注私信	missdiog 22 楼传说中的单点登录 2012-4-16 13:50 0
kvllz 雪币： 703 活跃值： (327) 能力值： (RANK：380 ) 在线值：发帖 48 回帖 469 粉丝 3 关注私信	kvllz 8 23 楼这个产品对于云的账户安全，还有金融相关的一些用户，例如 visa 等信息还是具有很高的可用性，盗库回滚一般是游戏的服务器做法，但是如果高明的xx把回滚前的备份数据和日志干掉，那么也有的头痛了。详细的拓扑结构，等过两天单位的事情忙完我会给出，因为这个硬件的位置在内网对外没有路由，所以攻破是基本没戏。连不上网的东东是安全的，物理安全再搞搞就很强大了。 2012-4-19 17:47 0
kvllz 雪币： 703 活跃值： (327) 能力值： (RANK：380 ) 在线值：发帖 48 回帖 469 粉丝 3 关注私信	kvllz 8 24 楼这两天比较忙，等下周有空我做个拓扑图出来这个事情和well说过他们评估后认为仿制较容易放弃了，目前没有版权问题。另外代码部分我和朋友说了打算做一个开源项目，这个看精力了。最近是没有时间搞了 2012-4-19 17:50 0
黄强雪币： 101 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 16 粉丝 0 关注私信	黄强 25 楼看看，学习学习 2012-4-21 23:21 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

kvllz

发帖

469

回帖

380

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (25) 1 2 ▶
yzxdev 雪币： 165 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 118 粉丝 0 关注私信	yzxdev 2 楼 3.修改密码：(验证支持明文/MD5/SHA1三种方式，新密码必须传明文）嗅探行不 2012-4-6 12:34 0
kvllz 雪币： 703 活跃值： (327) 能力值： (RANK：380 ) 在线值：发帖 48 回帖 469 粉丝 3 关注私信	kvllz 8 3 楼理论上可以嗅探新用户，因为进来的是哈希，获得哈希的意义不大。另外要是web使用我的web安全模型理论，想进来嗅探应该也很困难。呵呵 2012-4-6 12:38 0
edline 雪币： 639 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 62 粉丝 0 关注私信	edline 4 楼这个看得不太明白... 2012-4-6 13:41 0
ProbieTmp 雪币： 144 活跃值： (42) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 35 粉丝 0 关注私信	ProbieTmp 5 楼本来写了一大串，想想算了，何必呢,就说一句话吧. 我觉得咱们做计算机安全行业的,还是不要动辄就说100%. 2012-4-6 14:46 0
wine 雪币： 49 活跃值： (155) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 23 粉丝 0 关注私信	wine 6 楼看来搞安全的还要会忽悠 2012-4-6 15:22 0
donpps 雪币： 199 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 15 粉丝 0 关注私信	donpps 7 楼即使是在机房物理连接到主机也不能通过任何接口获得账号和密码的数据。那么如何访问数据呢！ 2012-4-6 15:54 0
邓韬雪币： 278 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 265 回帖 1670 粉丝 1 关注私信	邓韬 9 8 楼有攻就有防，有防就有攻，关键是要看动力。 2012-4-6 17:13 0
tihty 雪币： 27 活跃值： (127) 能力值： ( LV8，RANK：120 ) 在线值：发帖 29 回帖 1095 粉丝 3 关注私信	tihty 2 9 楼什么什么，好像很牛X的名字。 2012-4-6 17:25 0
小调调雪币： 3292 活跃值： (3341) 能力值： ( LV4，RANK：40 ) 在线值：发帖 26 回帖 380 粉丝 19 关注私信	小调调 10 楼那只模拟发包登入呢? 2012-4-6 17:28 0
kvllz 雪币： 703 活跃值： (327) 能力值： (RANK：380 ) 在线值：发帖 48 回帖 469 粉丝 3 关注私信	kvllz 8 11 楼拖库的100%抵御，这个不是瞎编的也不是过于绝对的说法。因为接口只有一个端口开放，就是你人在机房也拿它没办法，无键盘接口无其它公共接口。内部定义的硬件接口，如果应用数据加密存储就是主机给你，你也脱不出库来。当然你说的不要百分百还是有道理的，我这也只是夸张一下。不是100%也差不多99%了，因为这个当初给要投资人评估所以写的大了一些，懒得改了。呵呵 2012-4-6 18:06 0
kvllz 雪币： 703 活跃值： (327) 能力值： (RANK：380 ) 在线值：发帖 48 回帖 469 粉丝 3 关注私信	kvllz 8 12 楼不访问数据只是把账号和密码的哈希发过来接口比对后返回是真还是假 2012-4-6 18:09 0
kvllz 雪币： 703 活跃值： (327) 能力值： (RANK：380 ) 在线值：发帖 48 回帖 469 粉丝 3 关注私信	kvllz 8 13 楼如果在内网里模拟发包理论是没有问题的，关键这个东东抵御的是你把所有账号打包偷走的风险。个别账号盗用和欺骗不再这个产品的考虑范围，你说的这些要在交互的前端做抵御。 2012-4-6 18:12 0
ProbieTmp 雪币： 144 活跃值： (42) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 35 粉丝 0 关注私信	ProbieTmp 14 楼希望在没有违反 XX协议的情况下，再次的详细描述一下，安全环境,这样才能够和你深入的讨论.你懂的。 2012-4-6 18:56 0
gamehacker 雪币： 131 活跃值： (98) 能力值： ( LV5，RANK：60 ) 在线值：发帖 12 回帖 334 粉丝 2 关注私信	gamehacker 1 15 楼忽悠，接着忽悠………… 2012-4-7 13:33 0
仙果雪币： 1491 活跃值： (985) 能力值： (RANK：860 ) 在线值：发帖 68 回帖 1507 粉丝 67 关注私信	仙果 19 16 楼希望能更详细说下，完全不明白 2012-4-7 17:19 0
壹只老虎雪币： 112 活跃值： (16) 能力值： ( LV9，RANK：290 ) 在线值：发帖 38 回帖 709 粉丝 3 关注私信	壹只老虎 7 17 楼神器，强烈支持！ 2012-4-8 11:27 0
笨奔雪币： 415 活跃值： (34) 能力值： ( LV5，RANK：60 ) 在线值：发帖 11 回帖 748 粉丝 1 关注私信	笨奔 1 18 楼看的一头雾水啊。 2012-4-9 19:44 0
isno 雪币： 358 活跃值： (63) 能力值： ( LV8，RANK：130 ) 在线值：发帖 3 回帖 27 粉丝 1 关注私信	isno 3 19 楼人家没必要买你产品，自己把密码库独立出来做个加固基本就OK 但最主要的问题是，那些网站根本没把脱裤当回事，所以你这产品注定没啥市场 2012-4-10 14:01 0
pighead 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 18 粉丝 0 关注私信	pighead 20 楼是的产品的市场不大盗库的目的是洗钱问题是官方发现洗钱很简单就可以回滚这个周期决定了盗库的收益 2012-4-12 04:26 0
dfsy 雪币： 177 活跃值： (141) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 39 粉丝 0 关注私信	dfsy 21 楼硬件接口的想法不错，安全系数很高，不过成本也高。要调用的数据就不方面了中小企业一般建议以软件的形式封装加密关键信息，如用户的手机号、密码、真实姓名等。封闭接口再做一轮安全设计(我的设计是报警机制)。。当然这个不如DIY硬件接口的安全性高 2012-4-16 07:14 0
missdiog 雪币： 364 活跃值： (61) 能力值： ( LV3，RANK：30 ) 在线值：发帖 2 回帖 41 粉丝 2 关注私信	missdiog 22 楼传说中的单点登录 2012-4-16 13:50 0
kvllz 雪币： 703 活跃值： (327) 能力值： (RANK：380 ) 在线值：发帖 48 回帖 469 粉丝 3 关注私信	kvllz 8 23 楼这个产品对于云的账户安全，还有金融相关的一些用户，例如 visa 等信息还是具有很高的可用性，盗库回滚一般是游戏的服务器做法，但是如果高明的xx把回滚前的备份数据和日志干掉，那么也有的头痛了。详细的拓扑结构，等过两天单位的事情忙完我会给出，因为这个硬件的位置在内网对外没有路由，所以攻破是基本没戏。连不上网的东东是安全的，物理安全再搞搞就很强大了。 2012-4-19 17:47 0
kvllz 雪币： 703 活跃值： (327) 能力值： (RANK：380 ) 在线值：发帖 48 回帖 469 粉丝 3 关注私信	kvllz 8 24 楼这两天比较忙，等下周有空我做个拓扑图出来这个事情和well说过他们评估后认为仿制较容易放弃了，目前没有版权问题。另外代码部分我和朋友说了打算做一个开源项目，这个看精力了。最近是没有时间搞了 2012-4-19 17:50 0
黄强雪币： 101 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 16 粉丝 0 关注私信	黄强 25 楼看看，学习学习 2012-4-21 23:21 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复