一個真實故事

背景

妹子把手機丟了...是在上公交車時，妹子第二個上車，頭一個上去的黑色羽絨服男上車后問師傅是否去XX地，師傅說不去，黑羽絨服男就又擠下了車。上車坐定一會，妹子就發現手機不見了。再打關機。妹子說上車前確定手機還在 ，可以肯定就是那個黑衣服男偷得。

之后補卡，改密碼等等善后事宜暫且不表。且說說后續一些列發展引起我對互聯網安全的思考。

開端

用iphone手機的用戶都知道，一個iphone由一個appleid激活，如果不進行反激活，是無法登陸其他appleid的。所以妹子就打開了丟失模式。當丟失的手機打開聯網時定位并且鎖定。小偷不知道appleid的密碼，就無法解鎖手機，也就無法轉手賣出。

頭幾天鳥無音信。

在一兩周后，妹子郵箱接連收到郵件，內容大概是:

您的iphone正在嘗試解鎖刷機，如果是您操作，請忽略; 如果不是您操作，請登錄Apple ID 服務中心進行取消操作。該操作將在12小時后被允許。

署名是 Apple ID Service。

還好妹子是對這種事情無從下手，問我怎么辦，我比較警惕，說轉發給我，我接到后打開，發現這個郵件的格式和內容很正式。但是很明顯有以下幾個問題:

1. 郵件來源地址不是apple.com，而是一個其他的地址。
2. 郵件中登陸Apple ID 中心的鏈接也不是官方的。

打開這個鏈接，是個和查找 iphone登錄界面完全一樣的頁面。當然，這是個偽造的釣魚網站，如果妹子自己打開這個并輸入了appleid和密碼，那么賬號密碼就已經陷落了。

注意: 如果是手機郵箱，那么發件人的地址默認是隱藏的。而且，打開鏈接后網頁的url也是隱藏的。所以，如果是手機打開郵件，很難分辨真假。

可見，被偷iphone手機，由于其激活機制的特殊性，產生了一條很色的產業鏈:

小偷 -> 網絡詐騙技術者

小偷偷到手機后，無法解鎖，只能賣給下線。下線是大型的收購商，來收購被偷的iphone，然后進行批量的郵件進行釣魚，騙取密碼解鎖手機。

于是我告訴妹子，這種郵件都不要亂點，不要輸入你任何信息。

繼續

陸續幾天，還是有同樣的偽造刷機警告發來，妹子都置之不理。直到開始受到新的類型的郵件，大概內容:

你的手機在我們公司，我們無法解鎖，所以按照我們的收購價800塊賣給你。請看圖片，店鋪地址。

妹子經過上一波教訓，已經對互聯網有一定的畏懼心理，所以絲毫沒動，轉發給我。

我收到后打開，明顯的，日然是來歷不明的郵箱地址。而且，店鋪地址的鏈接也是來歷不明的。

雖然是來歷不明的鏈接，我還是想點進去看看，于是，我進行了點擊。結果是:

空白頁面...

為什么是空白頁面呢，怎么不是釣魚網站了? 于是我打開chrome開發者模式，重新打開鏈接，有很多請求，我意識到，這可能是xss攻擊。

有一個XXX.qq.com域名的請求，中間進行了重定向，然后又發送一個特殊url的請求，這個url暫不公開，可以假設為 xsssite.net

因為妹子的appleid用的是qq郵箱。所以如果對qq.com域名下的一個網頁注入腳本的話，當用戶打開這個網頁，很可能能拿到這個用戶的登錄信息.

由于這次我是從轉發的郵件打開的鏈接，所以泄露的是我的登錄信息，所以并無大礙。(跨站腳本只是獲取了你的登錄狀態，能夠一段時間內偽造登錄狀態，而并不是獲取了你的密碼)

xsssite.net這個域名的請求包含的很多內容，且這個網站就是一個xss攻擊的平臺。關于這個xss攻擊位置，如何獲取登錄狀態，傳遞了哪些信息，我還尚未去詳細查看，以后分享給大家。

我很感嘆，這個產業鏈遠比我想象的發達:

小偷 -> 網絡詐騙技術者 -> 黑客

結果

后來，由于一些事情，還是在妹子的登錄狀態打開一個這種連接，對方登陸了妹子的郵箱，從而重置了appleid密碼，當然期間有apple的郵件，但是妹子以為是假的，直接忽略掉了。我沒有及時得到消息，還是讓對方得逞了。

故事之后的反思

前面講了妹子的遭遇，我又想起近幾年幾次密碼泄露，信息泄露的事件，深感互聯網安全非常重要，豺狼虎視眈眈，但是絕大多數人絲毫沒有防范意識。所以我想了一些關于互聯網安全的知識，提示，以及應對措施。給大家普及一下。

互聯網危險到何種程度

請看烏云網，白客們所發現的各種系統漏洞。觸目驚心。

幾年前csdn的數據庫泄露事故，余威猶在。后續幾次京東，7k7k等網站的大量用戶密碼泄露都是這次事故的后遺癥。

黑色產業鏈早已超乎你我的想象。道高一尺魔高一丈。你的一切都時時刻刻被攻擊者盯著，不要有僥幸心理。

關于密碼

1. 密碼與社會工程學

>社會工程學: 一種通過對受害者心理弱點、本能反應、好奇心、信任、貪婪等心理陷阱進行諸如欺騙、傷害等危害手段取得自身利益的手法。

舉個例子，最簡單的社會工程學案例，就是根據你的生日來推測你的銀行卡密碼。根據人們慵懶的習慣，嘗試`123456`，`asd123`，`abcd` 等方便輸入的習慣來推測你的密碼。所以說，根據你的個人信息，比如生日，身份證號，門牌號，親友生日，名字拼寫，短語拼寫等任何對你有意義的字符序列，都會被認為是你的潛在密碼。依靠計算機的自動化，計算效率，可以不停的對大量的用戶數據進行嘗試破解。

**所以我們應該避免使用和自身信息有關的密碼**

2. 安全并不在你的掌握之中

使用隨機的，比較復雜的密碼，就可以確保賬號安全了么? 很遺憾，不是的。

因為你的密碼不僅僅是你自己要保管，你所注冊的網站，應用也需要保管。所以，你所使用的網站，應用是否在安全上做足了必要的功夫，是很重要的。

前幾年CSDN數據庫泄露，大量用戶資料被盜，令人震驚的是他們的密碼是明文的....

根據用戶們懶惰的習慣，不愿意記很多密碼，于是可以假設用戶們都喜歡用同一套用戶名密碼來登陸所有網站，應用。一時間，大量網站，應用被撞庫成功。

原則上，網站是不會保存明文密碼的，他們所保存的是對你的密碼進行不可逆加密后的密文，每次你登陸輸入密碼，網站會對輸入的密碼進行同樣的不可逆加密，然后與保存的密文進行對比來驗證正確性。這樣在網站數據庫泄露時，用戶密碼至少不會以明文顯示在盜竊者面前。

同時，網站也不應該僅僅用md5簡單加密。如今對于簡單通用的加密手段，黑客已經有數量龐大的樣本來進行比較，所以，簡單通用加密的效果已經接近明文了。所以，加密時加入隨機的salt，是常用的方法。

**避免所有賬號都是同一密碼。可以簡單分成幾級賬號密碼，你的關鍵應用比如qq號，支付寶，郵箱等的密碼，一定不要與注冊小網站的密碼一樣。**

**不要輕易進行注冊，尤其對于小網站，他們的技術相對于薄弱，安全工作做得不夠。建議小網站都使用第三方認證的方式**

3. 二步驗證

在輸入密碼后，需要再進行一次密碼驗證。

> One Time Password: 一次性密碼，每個密碼只在一次，或者很短的時間內有效。下次登錄或認真，就會用不同的密碼。

這個已經非常常見了，比如常見的手機驗證碼，暴雪戰網的安全令牌。

如果你的賬號可以開通二步驗證，強烈推薦開通，雖然每次耽誤點時間，但是可以對你的賬號進行非常好的保護。

**Apple ID，Google賬號，QQ郵箱(使用qq安全中心) 等都支持二步驗證，建議都去開通一下吧**

關于常用郵箱

1. 你的安全老巢

你的郵箱有多重要? 如果你的郵箱被別人登陸:
1. 首先，你的個人信息被別人一覽無余。而且，有的同學還喜歡用郵箱來作為記事本。
2. 可以隨時重置你的各種網站，應用的密碼!

2. 獨立密碼

如果你使用網易，QQ，新浪等不管是什么郵箱，要設置獨立密碼! 如同妹子郵箱被登錄的教訓。如果你在網易，QQ，新浪的賬號登錄狀態被xss攻擊獲得，那么攻擊者可以直接進入你的郵箱!

這些大網站，大企業的安全做得很好不用擔心? 我承認，這些大企業的核心業務是沒有問題的，關鍵在于這些企業家大業大，設計的方面非常多，部門也非常多，甚至分布在不同的地點，所以不可能所有的地方都能做好安全措施。妹子這個例子中，應該是QQ的大粵網中論壇的漏洞，被進行了xss攻擊。

話說回來，林子大，什么鳥都有，你不能保證這些企業當中有黑客的存在。就像你找人做了個保險箱，你不能保證這個人是不是留了一把鑰匙，或者在保險箱你不知道地方做了個機關。尤其對這些企業的非核心業務的技術人員，并不事都是經過嚴格考核進來的。

3. 不要輕易在瀏覽器中從郵箱中打開連接

切記，郵箱中的不確定連接不要輕易就打開，尤其實在瀏覽器環境下使用郵箱的時候。預防xss攻擊。

如果打開鏈接，發現有異常，查看請求記錄，如果有疑似xss攻擊，果斷退出登錄狀態，修改密碼。然后把該鏈接提交給出現漏斗的網站。(技術工作者)

**如果要在瀏覽器中打開鏈接，請使用"隱身窗口中打開"，據我所知Chrome，以及使用Chrome內核的瀏覽器基本都支持**

關于手機號

1. 你的安全命門

當你的手機丟了，第一件事，補卡。讓丟失的卡不能再使用。

當你的手機落入別人手中，又能正常使用，那么它可以使用很多應用的二步驗證。

作為一些應用的密保手機，它能夠充值你這些應用的密碼。

**手機丟了先補卡**