新西兰天维网社区

标题: TMD, ANZ三天都不能用！ [打印本页]

作者: 匿名 时间: 2021-9-10 13:16:28 标题: TMD, ANZ三天都不能用！

纽村的网上银行技术就这么烂，三天都没能搞定? 三天啊，在这个分秒必争的现代世界是不是太长了？

补充内容 (2021-9-10 13:17):
https://www.nzherald.co.nz/busin ... NN6JPR2TACF57DSYUI/

作者: kazama2007 时间: 2021-9-10 13:24:22

估计银行是为了省钱

没找最贵最好的网络安全公司进行合作

出多少钱，办多少事

作者: ilmaro 时间: 2021-9-10 13:26:48

四天……整整四天了……

作者: bintoo 时间: 2021-9-10 13:27:28

有没有专家来解析一下这是什么回事？

作者: 匿名 时间: 2021-9-10 13:33:41

bintoo 发表于 2021-9-10 13:27
有没有专家来解析一下这是什么回事？

屎盖里找专家？你找错地了，
这里砖家就有一大把！

作者: anzbank 时间: 2021-9-10 13:37:48

嫌新西兰网银不好用不安全的请回国

作者: moonIlight2013 时间: 2021-9-10 13:41:03

anzbank 发表于 2021-9-10 13:37
嫌新西兰网银不好用不安全的请回国

你门银行怎么搞的，对客户态度这么差，你好意思吗。

作者: yx9383 时间: 2021-9-10 13:42:28

估计是跟黑客谈不拢，他们要的ransom太高了？

作者: trdeyoualbert 时间: 2021-9-10 13:42:48

bintoo 发表于 2021-9-10 13:27
有没有专家来解析一下这是什么回事？

你不是专家？？？

作者: xyzxyz 时间: 2021-9-10 13:44:45

anzbank 发表于 2021-9-10 13:37
嫌新西兰网银不好用不安全的请回国

相关人士出来了，不去修网站怎么跑来逛论坛了

作者: 雄安百亩良田 时间: 2021-9-10 13:45:26

不能用ANZ
最好用中资银行哈

作者: anzbank 时间: 2021-9-10 13:46:06

moonIlight2013 发表于 2021-9-10 13:41
你门银行怎么搞的，对客户态度这么差，你好意思吗。

下回我起一个nationalbank的名看你怎么黑，哈哈哈

作者: hj_win_1 时间: 2021-9-10 13:48:35

啥时候黑客能把房贷系统弄奔溃了就服他

作者: 261874939 时间: 2021-9-10 13:49:54

换一个被。…

作者: kazama2007 时间: 2021-9-10 13:50:53

anzbank 发表于 2021-9-10 13:46
下回我起一个nationalbank的名看你怎么黑，哈哈哈

哈哈哈哈

你网名确实是 ANZ

作者: 匿名 时间: 2021-9-10 13:51:18

anzbank 发表于 2021-9-10 13:46
下回我起一个nationalbank的名看你怎么黑，哈哈哈

national bank ? 挂了不只十年了吧？，你还敢用它的名？

作者: godirty12 时间: 2021-9-10 13:51:34

CIC应该引咎辞职了

作者: 呼啸寒风 时间: 2021-9-10 13:54:57

已经修复了，大家散了吧

作者: 匿名 时间: 2021-9-10 14:13:48

说不定我在这喷一下真有点作用呢？

作者: ilmaro 时间: 2021-9-10 14:14:40

现在可以用了……

作者: bintoo 时间: 2021-9-10 14:15:40

trdeyoualbert 发表于 2021-9-10 13:42
你不是专家？？？

我专业搬家.

作者: star_astro 时间: 2021-9-10 14:27:56

以下内容纯属瞎猜：

DDoS三天是需要大量的成本的，如果没有什么实际的收益，不会有人这么干的。所以感觉应该是有漏洞实现了低成本的DoS。

这次挂的是login的页面，简单看了一下，提交表单的时候，密码使用了非对称加密，页面里有一小段JS就是那个public key. 然后用base64简单包装了一下

理论上，POST一个足够长的合格的base64字符串，验证服务器就得试图解密，如果足够长就够他喝一壶的

如果处理表单的函数再没有个长度限制

作者: 匿名 时间: 2021-9-10 14:34:23

star_astro 发表于 2021-9-10 14:27
以下内容纯属瞎猜：

DDoS三天是需要大量的成本的，如果没有什么实际的收益，不会有人这么干的。所以感觉应 ...

这才是真正的专家啊！赞一个！

作者: ilmaro 时间: 2021-9-10 14:41:33

star_astro 发表于 2021-9-10 14:27
以下内容纯属瞎猜：

DDoS三天是需要大量的成本的，如果没有什么实际的收益，不会有人这么干的。所以感觉应 ...

我怀疑你的怀疑是正确的，但是我没有证据……

我还怀疑是塔利班干的，但是我也没有证据……

作者: DDD888 时间: 2021-9-10 14:48:53

star_astro 发表于 2021-9-10 14:27
以下内容纯属瞎猜：

DDoS三天是需要大量的成本的，如果没有什么实际的收益，不会有人这么干的。所以感觉应 ...

anz请的人垃圾，竟然网站javascript可以让人随意读源程序代码

作者: DDD888 时间: 2021-9-10 14:54:24

star_astro 发表于 2021-9-10 14:27
以下内容纯属瞎猜：

DDoS三天是需要大量的成本的，如果没有什么实际的收益，不会有人这么干的。所以感觉应 ...

用户密码应该有长度限制的，所以加密后上传服务器的长度是有限的，上传是json，应该对服务器解压没压力啦

作者: 匿名 时间: 2021-9-10 14:54:46

DDD888 发表于 2021-9-10 14:48
anz请的人垃圾，竟然网站javascript可以让人随意读源程序代码

请垃圾都没请你

作者: DDD888 时间: 2021-9-10 14:56:07

匿名者发表于 2021-9-10 14:54
请垃圾都没请你

应该是裙带关系啦，我没有关系啦，所以拿不到高收入啦

作者: star_astro 时间: 2021-9-10 14:57:03

DDD888 发表于 2021-9-10 14:48
anz请的人垃圾，竟然网站javascript可以让人随意读源程序代码

非对称加密，看了就看了吧，没啥影响

TLS协商也给你看public key的，不是什么上古的RC4 cipher的话基本上没发破解

不过你说的没错，套路都摊牌了，就有可能找到弱点

作者: DDD888 时间: 2021-9-10 15:00:31

star_astro 发表于 2021-9-10 14:57
非对称加密，看了就看了吧，没啥影响

TLS协商也给你看public key的，不是什么上古的RC4 cipher的 ...

错了，核心是不能给看，因为给看了，了解了思路，就可以攻击啦，这是许多网站开发人员不懂的啦，以为看看没事啦，是最严重的啦

作者: star_astro 时间: 2021-9-10 15:02:01

DDD888 发表于 2021-9-10 14:54
用户密码应该有长度限制的，所以加密后上传服务器的长度是有限的，上传是json，应该对服务器解压没压力啦 ...

其实我实在没搞懂这个非对称加密的意义何在

Dom里面还是明文，TLS已经把整个HTTP POST加密了

弄个密码单独加密/解密 ~= 脱裤子放屁

作者: 匿名 时间: 2021-9-10 15:03:14

DDD888 发表于 2021-9-10 14:48
anz请的人垃圾，竟然网站javascript可以让人随意读源程序代码

照你这么说，屎盖请的IT比他们强一百倍? 因为他们审查贴子的和谐度非同一般的快。

作者: DDD888 时间: 2021-9-10 15:07:01

star_astro 发表于 2021-9-10 15:02
其实我实在没搞懂这个非对称加密的意义何在

Dom里面还是明文，TLS已经把整个HTTP POST加密了

我是这样想的，可能运营anz网站的无权看到用户密码，不然运行anz网站的都可以拿到所有客户的密码啦

可能密码解密有层级很高的来处理，低级别的无权看用户密码啦

作者: star_astro 时间: 2021-9-10 15:07:01

DDD888 发表于 2021-9-10 15:00
错了，核心是不能给看，因为给看了，了解了思路，就可以攻击啦，这是许多网站开发人员不懂的啦，以为看看 ...

那个也不算啥核心了

JS浏览器层面的混淆都是劝退新手用的

除非用非对称加密在服务器HTTP response的时候动态加密JS，然后分给客户端一个public key自己去解密这样最安全

但是实现起来问题很多，而且成本太高，很多公司不愿意这么搞

作者: star_astro 时间: 2021-9-10 15:08:42

DDD888 发表于 2021-9-10 15:07
我是这样想的，可能运营anz网站的无权看到用户密码，不然运行anz网站的都可以拿到所有客户的密码啦

可能 ...

哦？你是说ANZ把LB托管了，然后还在上面terminate TLS了吗？

如果是这样我得赶紧注销账户

作者: DDD888 时间: 2021-9-10 15:11:14

star_astro 发表于 2021-9-10 15:07
那个也不算啥核心了

JS浏览器层面的混淆都是劝退新手用的

不说别人啦，我自己写的个网站，我没钱啦，不愿意买https certificate,我就自己生成个aes key,iv,然后使用http protocol,用rust开发客户，服务器端，用aes加密请求和响应，这样我就不用花钱买https,我这是穷人的方法啦，我控制客户，服务器端，没有外人，所以我想挺安全的。

作者: DDD888 时间: 2021-9-10 15:12:31

star_astro 发表于 2021-9-10 15:07
那个也不算啥核心了

JS浏览器层面的混淆都是劝退新手用的

任何在不可控制的客户端运行的代码都是不安全的，你说的方法是无用的。

作者: star_astro 时间: 2021-9-10 15:13:22

DDD888 发表于 2021-9-10 15:11
不说别人啦，我自己写的个网站，我没钱啦，不愿意买https certificate,我就自己生成个aes key,iv,然后使 ...

啊？你不用 Let’s Encrypt 吗？都是免费的啊

作者: DDD888 时间: 2021-9-10 15:13:40

star_astro 发表于 2021-9-10 15:08
哦？你是说ANZ把LB托管了，然后还在上面terminate TLS了吗？

如果是这样我得赶紧注销账户 ...

我不懂你说的啥意思，解释下吧

作者: star_astro 时间: 2021-9-10 15:14:39

DDD888 发表于 2021-9-10 15:11
不说别人啦，我自己写的个网站，我没钱啦，不愿意买https certificate,我就自己生成个aes key,iv,然后使 ...

AES是对称加密，你要是能保证自己的客户端不会被人逆向工程就是安全的

作者: star_astro 时间: 2021-9-10 15:16:17

DDD888 发表于 2021-9-10 15:12
任何在不可控制的客户端运行的代码都是不安全的，你说的方法是无用的。 ...

我们公司有这样的产品啊，实现JS在浏览器上是没有办法被第三方解密的

不过客户不是很买账，因为需要研发配合的太多了

作者: star_astro 时间: 2021-9-10 15:18:17

DDD888 发表于 2021-9-10 15:13
我不懂你说的啥意思，解释下吧

你说的情况只能发生在ANZ把他们的前端 load balancer 托管在云上面了

然后HTTPS加密也被终结在这台load balancer上面

这样在第三方服务器的内存里存着的就是明文

我觉得不会有银行这样做的

作者: DDD888 时间: 2021-9-10 15:21:54

star_astro 发表于 2021-9-10 15:14
AES是对称加密，你要是能保证自己的客户端不会被人逆向工程就是安全的

是的，如果amazon可以保证我用的free tier没人可以看我的ubuntu linux instance hard drive image,那我就可以保证自己的客户端不会被人逆向工程

从实际角度看，破我那程序的话，还不如破世界上更有价值的程序啦，所以我的代码是安全的，我保证啦，哈哈

作者: star_astro 时间: 2021-9-10 15:23:24

DDD888 发表于 2021-9-10 15:21
是的，如果amazon可以保证我用的free tier没人可以看我的ubuntu linux instance hard drive image,那我就 ...

明明一个IPsec就可以解决的事情

作者: DDD888 时间: 2021-9-10 15:24:00

star_astro 发表于 2021-9-10 15:16
我们公司有这样的产品啊，实现JS在浏览器上是没有办法被第三方解密的

不过客户不是很买账，因为需要研发 ...

就你上面所说，我只要在chrome browser local override,改动你的javascript,输出解密后的源程序代码，你如何防啊？

作者: DDD888 时间: 2021-9-10 15:26:18

star_astro 发表于 2021-9-10 15:23
明明一个IPsec就可以解决的事情

你说的多麻烦啊？要配置，我就加几行代码就可以了

作者: star_astro 时间: 2021-9-10 15:28:26

DDD888 发表于 2021-9-10 15:24
就你上面所说，我只要在chrome browser local override,改动你的javascript,输出解密后的源程序代码，你 ...

你改不了JS，因为都是乱码，你看不懂
如果改Dom，服务器就不会收你这个，因为解不开

作者: DDD888 时间: 2021-9-10 15:31:48

star_astro 发表于 2021-9-10 15:28
你改不了JS，因为都是乱码，你看不懂
如果改Dom，服务器就不会收你这个，因为解不开 ...

你说的还是基于混淆代码，和我一开始所说毫无差别

作者: star_astro 时间: 2021-9-10 15:36:03

DDD888 发表于 2021-9-10 15:31
你说的还是基于混淆代码，和我一开始所说毫无差别

你说的混淆都是在local JS实现的，所以100%是可以逆向回来的

我说的是不能本地逆向的

作者: DDD888 时间: 2021-9-10 15:41:21

star_astro 发表于 2021-9-10 15:36
你说的混淆都是在local JS实现的，所以100%是可以逆向回来的

我说的是不能本地逆向的 ...

我不懂你说的，那你给个链接让我试试将我自己混淆的javascript代码返回成可读的代码

作者: star_astro 时间: 2021-9-10 15:43:06

DDD888 发表于 2021-9-10 15:41
我不懂你说的，那你给个链接让我试试将我自己混淆的javascript代码返回成可读的代码 ...

https://beautifier.io/

作者: DDD888 时间: 2021-9-10 15:48:07

star_astro 发表于 2021-9-10 15:43
https://beautifier.io/

你给的网站无用啦，我试过了

作者: star_astro 时间: 2021-9-10 15:50:40

DDD888 发表于 2021-9-10 15:48
你给的网站无用啦，我试过了

没这么简单，好多参数你要自己调。。。

最基本的点就是，JS得让浏览器读得懂吧，浏览器起码得把你的混淆算法搞明白

既然浏览器在完全不知道你是谁干了什么的情况下能读懂JS，那这个算法一定是可逆的

作者: DDD888 时间: 2021-9-10 15:54:01

star_astro 发表于 2021-9-10 15:50
没这么简单，好多参数你要自己调。。。

最基本的点就是，JS得让浏览器读得懂吧，浏览器起码得把你的混淆 ...

同样的说法也可以用到windows上，要不你给我计算机上的windows的源程序代码吧

作者: 吃草的狮子 时间: 2021-9-10 15:54:14

ANZ起码是澳纽巨头，被攻击一下重要服务三天用不了确实很扯淡。

作者: star_astro 时间: 2021-9-10 15:56:53

DDD888 发表于 2021-9-10 15:54
同样的说法也可以用到windows上，要不你给我计算机上的windows的源程序代码吧 ...

Windows运行的是编译过二进制文件。。。

JS是解释性语言。。。

你这个几十年的程序员白当了么？

作者: DDD888 时间: 2021-9-10 15:59:47

star_astro 发表于 2021-9-10 15:56
Windows运行的是编译过二进制文件。。。

JS是解释性语言。。。

我只不过套用你说的话啦

编译过二进制文件还没混淆呢，应该更容易啦，哈哈

作者: DDD888 时间: 2021-9-10 16:06:33

star_astro 发表于 2021-9-10 15:13
啊？你不用 Let’s Encrypt 吗？都是免费的啊

https://stackoverflow.com/questi ... nswers&text=Let,only%20thought%20its%20IP%20address.

需要有domain,amazon aws ec2 free tier应该是有domain的，但太麻烦了，我已经让现成的工作啦

作者: star_astro 时间: 2021-9-10 16:14:54

DDD888 发表于 2021-9-10 15:59
我只不过套用你说的话啦

编译过二进制文件还没混淆呢，应该更容易啦，哈哈 ...

汇编大神么？

作者: DDD888 时间: 2021-9-10 16:34:15

star_astro 发表于 2021-9-10 16:14
汇编大神么？

不懂你在说啥啦

作者: star_astro 时间: 2021-9-10 16:37:44

DDD888 发表于 2021-9-10 16:34
不懂你在说啥啦

我也不懂你为啥说二进制更简单。。。

我能想到的就是unstripted binary挂上GDB 或者反编译。。。

作者: star_astro 时间: 2021-9-10 16:40:41

DDD888 发表于 2021-9-10 16:06
https://stackoverflow.com/questions/36303344/letsencrypt-ssl-on-ip-address#:~:text=2%20Answers&tex ...

https://www.freenom.com/en/index.html

了解下？

作者: DDD888 时间: 2021-9-10 16:47:26

star_astro 发表于 2021-9-10 16:40
https://www.freenom.com/en/index.html

了解下？

几行代码加密，解密一下就行了，为何要加密通讯就整这许多事出来？例如必须有个domain,必须有个certificate,建议你了解下KISS

补充内容 (2021-9-10 16:48):
https://en.wikipedia.org/wiki/KISS_principle

作者: star_astro 时间: 2021-9-10 16:54:04

DDD888 发表于 2021-9-10 16:47
几行代码加密，解密一下就行了，为何要加密通讯就整这许多事出来？例如必须有个domain,必须有个certifica ...

你的这个想法就感觉是在做小作坊，根本没办法落地

作为茶余饭后的娱乐还行，我要是花钱请你做这样的解决方案估计会崩溃的。。

作者: DDD888 时间: 2021-9-10 16:55:57

star_astro 发表于 2021-9-10 16:54
你的这个想法就感觉是在做小作坊，根本没办法落地

作为茶余饭后的娱乐还行，我要是花钱请你做这样的解决 ...

楼主抱怨的崩溃已经发生几天啦，所以我不担心你所说的啦，哈哈，难道银行没钱吗？

作者: 261874939 时间: 2021-9-10 16:56:55

我看笑了哈哈啊哈哈楼上的对话。。。

作者: 新马甸甸 时间: 2021-9-10 17:02:06

这几天的ANZ都很好用啊，我收钱付钱很多次都没有问题，我账户不会被黑吧。

作者: Grayshen 时间: 2021-9-10 17:35:02

匿名者发表于 2021-9-10 15:03
照你这么说，屎盖请的IT比他们强一百倍? 因为他们审查贴子的和谐度非同一般的快。
...

因为anz的IT有work life balance，屎盖的IT可能没有

作者: 冰岛病毒 时间: 2021-9-10 17:35:10

ANZ这是惹到哪位大佬了

作者: catalsdevelop 时间: 2021-9-10 19:39:33

牛村的 it 实力你懂的，虽然砖家们各种天天 meetup，各种 ppt，各种最佳实践，各种装逼，但是实际能力和欧美比，水的很。要知道最强流量，吹灯谜每天所有 app所有端加起来的pv才不过8000w，这连京东pc 端一个搜索页的一半都不到。这种规模的应用和复杂度，不可能遇到什么有难度的挑战。ANZ 这种金融类安全性肯定是第一位的，基本的攻击肯定是化解无压力的。只是面对的是全世界的黑产人员，不多雇佣一些海外回来混国际圈儿的，整体实战技术很难提升的。好比一个人天天在家离线练格斗，已经可以随机角色，闭眼 1v3 8 级电脑了。但是去日本比赛的话，连路人甲都能虐他 3 个 Perfect。还有现在国内 DDOS 的成本低的发指，说的通俗点儿的就是你付一顿撸串的钱，就能让任何一个中小规模的 app 宕机 1小时以上。

作者: bintoo 时间: 2021-9-10 20:00:01

各位专家大神，别在这里嘈啦，快去帮帮ANZ，这次解决了还不知道有没有下次，我那百多块辛苦铲沙赚来的存款现在感觉很颤抖啊。

作者: anzbank 时间: 2021-9-10 21:20:53

骂个壁的，又挂了！！！

作者: DDD888 时间: 2021-9-10 21:21:30

bintoo 发表于 2021-9-10 20:00
各位专家大神，别在这里嘈啦，快去帮帮ANZ，这次解决了还不知道有没有下次，我那百多块辛苦铲沙赚来的 ...

我刚才用了下网站，一点问题都没有

作者: DDD888 时间: 2021-9-10 21:24:57

catalsdevelop 发表于 2021-9-10 19:39
牛村的 it 实力你懂的，虽然砖家们各种天天 meetup，各种 ppt，各种最佳实践，各种装逼，但是实际能力和欧 ...

其实完全可以用google的识别机器人的图片调用啦，我想客户会接受的，在输入用户名和密码后，先识别下是robot，这样一来就解决了问题啦

作者: 匿名 时间: 2021-9-10 21:27:28

没有问题啊。。。。可以用。。。

作者: Conanzsw 时间: 2021-9-11 10:38:27

DDD888 发表于 2021-9-10 16:06
https://stackoverflow.com/questions/36303344/letsencrypt-ssl-on-ip-address#:~:text=2%20Answers&tex ...

这问题和回答都简直了。。。脱裤子放屁的典型
Let’s Encrypt本就应该只给域名签SSL，私有ip地址自签个SSL去。。。
除非你是大佬级别的存在 -> https://1.1.1.1/

作者: Conanzsw 时间: 2021-9-11 10:41:05

揍的好这帮政府网站都没挨过打。。。让你丫的ANZ天天投放阿三房贷广告

作者: star_astro 时间: 2021-9-11 11:39:12

Conanzsw 发表于 2021-9-11 10:38
这问题和回答都简直了。。。脱裤子放屁的典型
Let’s Encrypt本就应该只给域名签SSL，私有ip地址自签个SS ...

哈哈哈，这个问题好玩！

看了下RFC，root zone可以是数字，我就在自己的bind上试了一下

dig @10.0.0.139 1.1.1.1 +short
1.1.1.1

1.1.1.1 是我的域名，A record 也是1.1.1.1

如果IANA哪天真接受了数字的root zone请求的话。。

https://www.iana.org/domains/root/db

作者: 四文鱼哥 时间: 2021-9-11 12:13:53

anzbank 发表于 2021-9-10 13:37
嫌新西兰网银不好用不安全的请回国

anz护法快来护盘

作者: Conanzsw 时间: 2021-9-11 16:01:35

star_astro 发表于 2021-9-11 11:39
哈哈哈，这个问题好玩！

看了下RFC，root zone可以是数字，我就在自己的bind上试了一下

运维出身？
IP证书门槛高，而且没卵用，除非是大家众所周知的IP。。。何况，暴露服务器IP=找揍
再说了域名的SSL证书都有可能暴露服务器IP。。。

作者: 匿名 时间: 2021-9-11 18:25:56

ANZ听说了。TMD是哪家银行？

作者: paulwood 时间: 2021-9-11 19:16:35

匿名者发表于 2021-9-11 18:25
ANZ听说了。TMD是哪家银行？

Tamilnad Mercantile Bank

https://www.tmbnet.in

作者: star_astro 时间: 2021-9-11 20:56:02

Conanzsw 发表于 2021-9-11 16:01
运维出身？
IP证书门槛高，而且没卵用，除非是大家众所周知的IP。。。何况，暴露服务器IP=找揍
再说了域 ...

这。。。感觉你似懂非懂。。。

作者: DDD888 时间: 2021-9-12 21:48:04

刚才，我要网上转账，登录进 anz 网站后，显示网站帐号出错，我按了下浏览器刷新按钮，让我做机器人识别，然后就好用了，显然前面有人说要请全世界的大牛来对抗黑客显然是无稽之谈，anz不就采用了我之前所说的机器人识别的大路算法了吗？另有人说解压密码会让服务器崩溃，显然anz不在乎啦，不然机器人验证一般都是在登录时或之前所做，好奇怪啊？

作者: 匿名 时间: 2021-9-13 12:43:27

paulwood 发表于 2021-9-11 19:16
Tamilnad Mercantile Bank

https://www.tmbnet.in

这网站看到我都觉得自己年轻了。

欢迎光临新西兰天维网社区 (http://bbs.skykiwi.com/)