您的位置:老鐵SEO > 站長新聞 >

如何防范短信炸彈漏洞呢?

文章來源:www.kmkusn.tw

作者:老鐵SEO

人氣:174

2018-08-21

  我們SINE安全在對網站,以及APP端進行網站安全檢測的時候發現很多公司網站以及業務平臺,APP存在著一些邏輯上的網站漏洞,有些簡簡單單的短信驗證碼可能就會給整個網站帶來很大的經濟損失,很簡單的網站功能,比如用戶密碼找回上,也會存在繞過安全問題回答,或者繞過手機號碼,直接修改用戶的賬戶密碼。

  在短信炸彈,以及用戶密碼找回的網站漏洞上,我們來跟大家分享一下如何利用以及如何防范該漏洞的攻擊。

  我們來看下之前對客戶網站進行的網站安全檢測的時候我們發現到的短信炸彈漏洞,由于客戶反映注冊網站會員的時候會收到好幾條重復的驗證碼短信,甚至多次點擊提交也會導致收到好多條驗證碼信息,隨即我們SINE安全對其進行詳細的安全檢測,果然發現了問題,對注冊會員的時候確實存在多次發送短信的情況,我們對提交的數據,GET,POST方式進行多次的安全測試,發現post數據的時候,在smg值后面隨意添加任何參數,即可導致網站發送驗證碼短信到用戶手機上,可以發送無數條短信,如果被攻擊者利用,那帶來的損失無法估量。

  對于這次檢測出來的短信炸彈漏洞,首先分析代碼,從之前程序員寫的代碼里看出,在用戶登錄這個過程代碼里沒有進行詳細的安全過濾,導致輸入用戶名密碼就可以發送驗證碼,再一個就是程序員設計的過程中將測試的手機號碼都存放于數據庫里,導致很多正常的用戶收到測試時候的短信驗證碼。再一個漏洞產生的原因,就是程序代碼里設計的初始化密碼為123456,導致在找回密碼重置密碼的時候就會進行寫入數據庫,攻擊者利用撞庫就可以很容易的猜測到用戶的密碼。

  那么該如何防范短信炸彈漏洞呢?

  從網站安全的角度來分析,以及網站安全部署層面上看,在短信平臺上可以做到防止短信無數發送,現在阿里云的短信平臺,可以做到防止多次發送短信到用戶手機,一個手機號一天只能接收5次短信的安全限制,再一個就是從程序代碼里進行安全加固,對注冊的會員,進行判斷,如果是一個IP,只能發送一條短信。用戶點擊獲取驗證碼前輸入圖文驗證碼,才能發送,間隔時間60秒才能發送一條短信。在整體的網站安全檢測中我們要提前告知客戶,我們在進行操作什么,網站漏洞掃描,網站漏洞利用,數據庫寫入刪除等比較重要的操作,都要事先跟客戶告知,提前對網站的數據進行整體的安全備份,包括數據庫的備份,網站源代碼的備份。在滲透測試當中我們要先進行安全評估,整體的安全檢測會不會給用戶帶來影響以及損失,盡可能的不要產生影響客戶網站訪問,以及業務正常運轉。

相關文章

在線客服

外鏈咨詢

掃碼加我微信

0557-8818050

返回頂部

网球比分指数