我們SINE Security在網(wǎng)站和APP方面進(jìn)行網(wǎng)站安全檢測時(shí)發(fā)現(xiàn)了很多公司網(wǎng)站和業(yè)務(wù)平臺。 APP中存在一些邏輯網(wǎng)站漏洞。一些簡單的短信驗(yàn)證碼可能會帶來整個(gè)網(wǎng)站。很多經(jīng)濟(jì)損失，網(wǎng)站功能非常簡單，如用戶密碼恢復(fù)，會有繞過安全問題的答案，或繞過手機(jī)號碼，直接修改用戶的賬號密碼。

在SMS炸彈和用戶密碼檢索到的網(wǎng)站漏洞中，讓我們與您分享如何使用以及如何防止漏洞。

當(dāng)我們查看在客戶網(wǎng)站上執(zhí)行網(wǎng)站安全測試時(shí)發(fā)現(xiàn)的SMS爆炸漏洞，當(dāng)客戶反映注冊網(wǎng)站成員時(shí)，我們將收到幾條重復(fù)的驗(yàn)證碼短信，甚至多次點(diǎn)擊將導(dǎo)致收到很多驗(yàn)證碼信息，然后我們對SINE安全進(jìn)行了詳細(xì)的安全測試，發(fā)現(xiàn)問題，確實(shí)有多次向注冊會員發(fā)送短信，我們提交數(shù)據(jù)，GET，POST模式多重安全測試，當(dāng)你找到發(fā)布數(shù)據(jù)后，您可以在smg值后添加任何參數(shù)，這可能會導(dǎo)致網(wǎng)站將驗(yàn)證碼短信發(fā)送到用戶的手機(jī)。您可以發(fā)送無數(shù)短信。如果它被攻擊者使用，它將帶來無法估計(jì)的損失。

對于此次檢測到的SMS炸彈漏洞，首先分析代碼。從程序員編寫的代碼中，不在用戶登錄過程代碼中執(zhí)行詳細(xì)的安全過濾，因此可以通過輸入用戶名和密碼來發(fā)送驗(yàn)證碼。另一個(gè)是在程序員設(shè)計(jì)過程中測試的手機(jī)號碼存儲在數(shù)據(jù)庫中，導(dǎo)致許多普通用戶在測試時(shí)接收到SMS驗(yàn)證碼。此漏洞的另一個(gè)原因是程序代碼中設(shè)計(jì)的初始密碼為123456，這會導(dǎo)致在重置密碼時(shí)將密碼寫入數(shù)據(jù)庫。攻擊者可以使用庫輕松猜出用戶的密碼。 。

那么該如何防范短信炸彈漏洞呢?

從網(wǎng)站安全性和網(wǎng)站安全部署水平的角度來看，它可以防止在SMS平臺上無數(shù)次發(fā)送短信?，F(xiàn)在，阿里云的短信平臺可以防止多次向用戶的手機(jī)發(fā)送短信。您每天只能獲得5個(gè)SMS安全限制，另一個(gè)是從程序代碼執(zhí)行安全加固以判斷注冊成員。如果是IP，則只能發(fā)送一條短信。用戶可以在單擊驗(yàn)證碼發(fā)送之前輸入圖形驗(yàn)證碼。在發(fā)送文本消息之前的間隔是60秒。在整體網(wǎng)站安全測試中，我們必須提前告知客戶，我們正在做什么，網(wǎng)站漏洞掃描，網(wǎng)站漏洞利用，數(shù)據(jù)庫寫入刪除等重要操作，我們必須提前告知客戶，提前網(wǎng)站數(shù)據(jù)整體安全備份，包括數(shù)據(jù)庫備份，網(wǎng)站源代碼備份。在滲透測試中，我們必須首先進(jìn)行安全評估。整體安全檢查不會影響和失去用戶。盡可能不影響客戶網(wǎng)站的訪問和業(yè)務(wù)的正常運(yùn)作。下一篇文章分享了用戶密碼恢復(fù)漏洞的使用和分析。

本文來源：http://www.sinesafe.com/article/20180820

« 上海網(wǎng)吧福利即將到來！《京東網(wǎng)絡(luò)服務(wù)站》舉辦京東電器購買十一嘉年華 | 工信部可以對手機(jī)號碼的歸屬地進(jìn)行變更嗎？ »