破解 6 位數驗證碼!! 駭客如何入侵你的帳號? 漏洞技巧解析! | 在地上滾的工程師 Nic

關於後續更多我有放在資訊欄裡了!!
如果喜歡聽這類型經驗分享也可以留言告訴我，我還有很多能分享 😆
以下是工商時間
在地上滾的工程師超白爛 T-shirt 第二彈
✨ 開會專家 Tshirt 衣服購買處 ✨
價格: 590 NTD 含寶石貼紙一張
連結: shopee.tw/product/15975226/16477002844/

很讚的內容，對於手法說明得很清楚。👍
一次針對單一目標發出大量連線請求與憑證確認，很容易管理者被發現，如果真有駭客利用這手法去攻擊，很有可能是為了隱匿他真正攻擊目標，作為一種聲東擊西的手段。
改進的方法可以透過提高攻擊者的門檻與麻煩度下手，最簡單的方式就是在輸入驗證碼的頁面時，多一個機器人驗證或者圖形驗證碼(Captcha)。

這種具體講解資安技術的影片真的可以越多越好 真的很讚👍

資安真的應該拿去做通識教育

我在看影片之前大概就想到兩個可能 換ip跟線程，還真得是這兩個，因為 異步 或者 線程 ，瞬間大量請求速度太快了，很多伺服器都防不住，因為網頁也是用異步，不然無法處理大量用戶訪問，但解決方式也很簡單 加入驗證碼就好了，來個Google我不是機器人，他們就任哉了。

大陆工程师，插个话，我也是一个白帽子，这印度老哥的思路确实骚。其实对于厂商来说，每一个用户的安全都不应该轻视，但这就看厂商的良心。想不到apple也会忽略并偷偷修复漏洞，这种行为有点可耻。😂

最近剛好有要開發類似的系統，剛好可以學以致用重新檢視一下環節，今天又上了一課，謝謝Nic

所以因為上次被駭進去後，我直接關掉雲端連結。第一次看你的節目，我訂閱了。希望多做類似節目防止駭客與詐騙傷害我們。

主要是這個漏洞的邏輯基本上有點技術的資安人員都熟悉，但從攻擊成本和獲益來看其實不是什麼值得去試的手法(因為原理很簡單，但實踐上比較麻煩又不是什麼新鮮的方式，有些駭客會很講求炫技)，所以當初設計時想必也沒有特別去想說有人會去嘗試

對於科技的議題一直都非常有興趣，覺得nic可以用很白話的方式讓我了解到駭客攻擊的模式覺得也學到了一課！希望未來也能有這樣子類型的影片

新觀眾被這部影片圈粉
nic有這麼好的底子和背景
希望以後可以針對個人專業上
用深入淺出的方式
拍影片給我們瞭解
畢竟YT上娛樂型影片很吃香 但也競爭
相反專業類型的影片其實也有一定受眾
像是律師、醫生、物理治療師
都有高人氣的訂閱頻道
nic可以成為台灣軟體工程師的YT第一人😆
至少我自己對這類主題很有興趣

這個大量攻擊的方式，感覺可以透過失敗次數過高會就鎖住這個帳號/密碼的方式阻擋暴力破解

我以為偽裝基地台，挾持手機驗證碼，會比搞暴力破解容易得多哩...SIM卡加密應該不是牢不可破的..
應對這種暴力破解法最好的方式應當是收到使用者一定的輸入次數後更換驗證碼...不過造成伺服器負擔的額外成本可能還是需要考量
希望下一期能介紹一下Authenticator的運作原理..

把數字組合做sorting, 把有相同和連續組合的放到較後, 破解時間應該會加快

很有趣的分享，雖然不太會應用到工作上但了解破解密碼的方法很有趣

喜歡這種關於資安方面的影片，如果可以的話想知道更多有趣的駭客手法，希望以後可以多拍!

謝謝Nic的分享!
我上學期剛修完資安的課，暑假Nic又幫我複習了一次XD

超喜歡這個分享! 本身也是軟體工程師 覺得這類型的分享很刺激思考~

簡訊只要運用SS7就有可能被攔截，所以2FA並不建議用簡訊來驗證

平易近人的敘事方式講解實際案例～喜歡這次的影片

這種實戰解說好棒喔!!
希望以後能有更多這種影片

不錯不錯~~補足了一些資安觀念!講得非常易懂~~

這讓我想到以前看過一個故事
兩個駭客在比賽看誰先攻破對方的電腦
先攻破的人，裁判燈就會亮綠燈
結果比賽剛開始不到幾十秒，A就獲勝了
B整個大傻眼，滿頭問號?
所有人也滿頭問號?
只有A淡定的比著裁判登說：
【我只是很簡單的攻破裁判燈】
真的只是思考邏輯不同，就能有很大的差別
所以俗話說
聰明的人找方法，失敗的人找藉口
不無道理

感謝分享！race condition這招真的好用.....以前有段時間常用XD

感謝~蠻喜歡Nic分享這類有趣的案例跟事件,然後順便講解其中的程式&網路觀念~留言支持~

喜歡這個影片，了解及討論一些真實案例類型的影片很讚！

分享的內容很有趣 也充分展現了對於這領域的專業 讚讚👍

若設下最多只能retry 3次，不然就得重新申請，一小時最多只能申請3次，超過的話被鎖定3小時，這樣破解的難度應該就會高很多

這個方法老實說沒有太大的技術量，只是沒人會估計大公司想到這種防禦想法(或者是在cloud服務流行之後沒有更新防範的手段)
要防止的手段也不複習，只是單純的工作量而且
最後我那些小網站我沒有做到這這樣的防範手段，但只要我看log 看到有相近的ip ，又不是本地的話，我一般會直接封鎖class b去處理(單純不是增加我的主機工作量而已)
但慘是用家，還沒被發現問題之前，戶口被駭，別人會怪你自己資安不足，結果原來是大公司的失誤

我還以為後面是surf shark vpn 的業配 結果竟然沒有 真是良心RUclipsr QAQ

除了改車的影片之外，這個資安的主題也很有趣，讓我思考為什麼有些網美的帳號會被盜，目的是甚麼？

PlayStation的登錄驗證只有4位數字，那是不是更易攻破？還有請問你，我設置數字大小寫字母+符號的密碼，設置多少位是比較安全又高效的？請說說你對此的理解。

有趣 從一個手法可以看出超多延伸議題
講的很詳細 讚讚

喜歡這種有教育性、專業性的影片

很喜歡這種主題！感謝Nic分享！

推 身為一個資工系學生覺得非常有趣

簡單來講就是位數越多，甚至是加入各種英文字母和特殊符號，最安全

其實只要有足夠的ip地址就可以駭入非常多的帳號
手機號碼不也是數字嗎？
理論上只需要10^(length(電話號碼)+length(驗證碼))/(1個ip地址最多可以發送驗證碼的數量)個ip地址就可以同時攻擊1個地區所有電話號碼了
雖然這只是理論上，而且現在應該不可以這樣駭了，但在修復前這樣不就可以進行大規模帳號入侵了嗎？

滿喜歡的
希望nic可以多分享這類的知識

推，講得很淺顯易懂，希望多來一些

學到好多新詞，期待未來有更多技術相關影片

所以以相同觀念來說一些被制裁國家可以支撐的起這些成本，然後來攻擊、勒索用戶來獲取金援。

個人手機號碼蠻容易取得的，看看那些每天打來騷擾的詐騙電話就知道XD

使用者方便.....駭客也方便...
有些業主真的會提出這種要求..

系统验证 可以按照一段时间内同一账号的 重置次数限制，不用IP限制

我一兩個禮拜前IG帳號被盜用，發了一個限時動態和帖子，說我因為Elon Musk賺了幾個比特幣。當時我正在打遊戲玩得興起，突然收到通知有人讚好了我的帖子，我心想怎麼可能（我的帳號什麼東西也沒有），便馬上進去，可惜已經有幾個人看見了，這下可尷了。然後過了一段時間我發現我的帳號追蹤了一百多個陌生人，於是我趕緊全部都刪除追蹤，也重設了密碼，檢查記錄還發現我的帳號被一台在印度的電腦登入過。我懷疑這是兩個騙局，1就是比特幣，2就是人們買追蹤，然後他就駭入別人的帳號追蹤那些人，幹

手機號碼反而相對好取得！
不管是購買個資，或者路上、網路上的廣告、商家電話看一看，就能找到電話了。

喜歡類似這樣的分享，感謝您分享有趣的知識。
通常網購平台的信用卡資料被駭，甚至是盜刷。類似的案例通常是怎麽樣情況下信用卡會在卡主人不知情的情況下盜刷？因為一般銀行都會有刷卡紀錄通知。有沒有之前過往發生過的案例可以分享嗎？

或許登錄的驗證碼可以提高比較多位數 然後用簡訊自動填入
這樣安全 又不會麻煩

喜歡這個系列，希望可以看到更多

謝謝分享，希望有更多的這種影片

總算明白為何SMS那麼不安全。
但如果把數字+英文字+符號組合，再加6位數，按微軟般提升數目。
那麼，攻擊成本大增，就足夠保護大部份人。
然而，很多人仍然認為SMS是不安全。請問是否有其他漏洞?

每次來都可以有又上了一堂好課程的想法

請問一下如果不是用手機而是用驗證app的話，這樣照這個駭客的方式是不是就算找多台雲端伺服器來也很難攻破呢？

那些大帳號 或者是有經過官方驗證的帳號 重製密碼流程與登錄流程可能會跟普通帳號不太一樣 應該不會那麼容易破解吧?

感謝 instagram 的公司幫助我了解我的 patina 帳戶中發生的事情，我非常感謝

诚恳的请问为什么这些验证码不使用英文字符+号码呢？ 这样看似增加了更多组合可能性

還真沒想過可以這樣搞！學到一課了！

很有趣的題材
希望可以多分享一些

突然想到有的驗證碼是用google authenticator 就是在使用者手機上會自動出現驗證碼 然後每幾秒會更換一次 這種的有被駭成功過嗎

想問一下Nic平常也會找尋大公司網站的漏洞嗎?

如果是6位a-z+0-9這樣是不是又又又更難了

喜歡這類專業技術影片

非常好的內容，謝謝🙏您。有為的年青人，讚👍

推 希望能看到更多資安相關內容

好強 超級有幫助!

刷信用卡是不是也會給這方法破解呢？ 香港有不少人沒刷卡卻收到信用卡帳單

所以資安上最普遍得還是利用人類心理的釣魚手法，這也是開發商最無法防範。

我覺得學校資訊課可以播這個，比老師上課講一堆資安多重要這種聽膩的話有趣多了

小公司通常會失敗吧，瞬間100萬個請求，伺服器資源會耗盡

说实话入侵某些交易所很简单 但是提币都的审核的，基本很难搞到钱，大资金账户就更难了

雖然這種野路子在正統密碼學的學者眼裡很不入流
完全沒有發論文的價值
但實際上確實暴力可以破解萬物XDD

講的蠻清楚的 已訂閱

感謝分享!!挺有趣的~

希望可以有更多資安相關的影片～～

可以在驗證頁面加上圖形驗證增加攻擊者所花的時間成本

如果遺失了原本註冊的信箱(帳號記得，密碼遺失)&備用信箱和手機號碼，那有辦法取回IG和信箱嗎?最近把自己的IG搞掉了，重瓣一隻帳號也沒辦法用以前的心態去滑，多少還是會有很多不捨QQ

多講一些資安的事情，滿有趣的

雖然說instagram知道有這個漏洞 但還是在剛剛帳號被盜了呢 也才能看到這部影片

有趣！簡單易懂

discord駭客：我有你的token還要你的驗證碼幹嘛

受益良多，谢谢分享 😍

想問一下 如果我把限制條件改成 不限ip 但同個帳號試5次以上就鎖 可以解決嗎？

很讚的內容！

謝謝分享，看完長知識了。
對於信用卡能繞過OTP被盗擦的事件，請問你有沒有興趣做影片？

非常感謝您的分享，

剛看完N號房，想知道韓國警方如何從交易所抓到博士的技術問題

好特別的知識!!!感謝分享

想問nic一下 你後面的那個鍵盤是什麼款式?

有個客戶的系統驗證碼只有四碼然後有效期是24小時
感覺未來有機會會被弄到嗨爆

白帽是合法，黑帽是犯法

這告訴我們
驗證碼要用英文數字特殊符號互相混合

直接在你的手機上安裝監聽密碼的軟件不是更有效率嗎

我的FB密碼 就是兩段驗證破解的 我只有收到“有人嘗試登入你的帳號”然後幾分鐘後密碼和綁定email都被改掉了，最智障的是因為email被改掉，fb 一直發驗證碼給盜我帳號的email，有夠鳥

很棒的技術解析

很有趣的分享!

很有趣的實例

這個漏洞只要一招加入短時間大量請求IP黑名單就擋掉了（事後申訴什麼的另說），我是Apple我也不給25萬刀😎

我想問看，我是用手機網絡的。 我的面子書和Instagram 的登入地點和IP 地址一直變動，變去其他城市我沒有去過的。 然後我的雙重驗證登入也會突然失效。 我去看telegram 的登入地點卻是我當下的地點，IP 地址與面子書Instagram 不一樣

很有知識性!
學習了