我們SINE安全在對網站,以及APP端進行網站安全檢測的時候發現很多公司網站以及業務平台,APP存在着一些邏輯上的網站漏洞,有些簡簡單單的短信驗證碼可能就會給整個網站帶來很大的經濟損失,很簡單的網站功能,比如使用者密碼找回上,也會存在繞過安全問題回答,或者繞過手機号碼,直接修改使用者的賬戶密碼。
在短信炸彈,以及使用者密碼找回的網站漏洞上,我們來跟大家分享一下如何利用以及如何防範該漏洞的攻擊。
我們來看下之前對客戶網站進行的網站安全檢測的時候我們發現到的短信炸彈漏洞,由于客戶反映注冊網站會員的時候會收到好幾條重複的驗證碼短信,甚至多次點選送出也會導緻收到好多條驗證碼資訊,随即我們SINE安全對其進行詳細的安全檢測,果然發現了問題,對注冊會員的時候确實存在多次發送短信的情況,我們對送出的資料,GET,POST方式進行多次的安全測試,發現post資料的時候,在smg值後面随意添加任何參數,即可導緻網站發送驗證碼短信到使用者手機上,可以發送無數條短信,如果被攻擊者利用,那帶來的損失無法估量。
對于這次檢測出來的短信炸彈漏洞,首先分析代碼,從之前程式員寫的代碼裡看出,在使用者登入這個過程代碼裡沒有進行詳細的安全過濾,導緻輸入使用者名密碼就可以發送驗證碼,再一個就是程式員設計的過程中将測試的手機号碼都存放于資料庫裡,導緻很多正常的使用者收到測試時候的短信驗證碼。再一個漏洞産生的原因,就是程式代碼裡設計的初始化密碼為123456,導緻在找回密碼重置密碼的時候就會進行寫入資料庫,攻擊者利用撞庫就可以很容易的猜測到使用者的密碼。
那麼該如何防範短信炸彈漏洞呢?
從網站安全的角度來分析,以及網站安全部署層面上看,在短信平台上可以做到防止短信無數發送,現在阿裡雲的短信平台,可以做到防止多次發送短信到使用者手機,一個手機号一天隻能接收5次短信的安全限制,再一個就是從程式代碼裡進行安全加強,對注冊的會員,進行判斷,如果是一個IP,隻能發送一條短信。使用者點選擷取驗證碼前輸入圖文驗證碼,才能發送,間隔時間60秒才能發送一條短信。在整體的網站安全檢測中我們要提前告知客戶,我們在進行操作什麼,網站漏洞掃描,網站漏洞利用,資料庫寫入删除等比較重要的操作,都要事先跟客戶告知,提前對網站的資料進行整體的安全備份,包括資料庫的備份,網站源代碼的備份。在滲透測試當中我們要先進行安全評估,整體的安全檢測會不會給使用者帶來影響以及損失,盡可能的不要産生影響客戶網站通路,以及業務正常運轉。下一篇文章跟大家分享使用者密碼找回漏洞的利用與分析。