滲透測試服務 手機號任意短信發送漏洞測試與修復
很多公司網站的被攻擊,被篡改,都是存在著網站漏洞隱患的,也有很多客戶找到我們esafe
安全公司,對自己公司網站進行滲透測試服務,以及網站的安全檢測,漏洞檢測整體的安全服務,
我們esafe安全在日常對客戶網站進行安全滲透的同時,發現都存在著手機號任意發短信的漏洞
,簡單來講就是短信轟炸漏洞。尤其一些商城網站,平臺網站,會員註冊類型的網站都會使用手
機號註冊,以及微信註冊,郵箱位址註冊,這樣做,方便大部分的用戶可以快速的註冊帳號,登
錄網站使用。
那麼在快捷,方便的需求下,網站的漏洞就會被忽視,從而被攻擊者利用並進行惡意攻擊,同行
之家的競爭等等,都可以使用短信轟炸漏洞來使對方造成嚴重的損失。從公司方面來看問題,發
送一條註冊的短信驗證碼就會向短信提供商收取一定的費用,雖然目前一條短信可能幾分錢,如
果網站存在短信轟炸漏洞,那麼被攻擊者利用就可以造成很大的損失,也給網站的用戶帶來了很
大的影響。
當網站出現短信轟炸漏洞的時候用戶會覺得這個網站給他帶來了騷擾,不停的發送短信,讓用戶
反感至極。那麼如何檢測網站存在這個業務邏輯漏洞呢?
首先我們要從網站的各項功能上去滲透測試,安全測試,一般網站存在的功能是:會員帳號註冊
功能,忘記密碼找回功能上,會員綁定手機郵箱功能,設置取款密碼使用手機驗證,或者是某項
重要的操作,提現,充值等功能上需要手機短信驗證碼,再一個是網站活動領取獎品功能上。我
們來現場測試演練一下看看:
我們在用戶註冊功能裡進行滲透測試,填好手機號點擊註冊,然後抓包資料,將截獲到的POST
資料包進行修改,不停的發送同樣的POST資料到網站後端,如果手機號不停的收到短信,那麼
就可以證明網站存在短信轟炸漏洞。如下圖:
關於短信轟炸漏洞的修復方案與辦法
在網站代碼端限制用戶同一IP,一分鐘提交POST的次數與頻率,也可以對同一手機號進行1分鐘
獲取一次短信的限制,如果發送量大對該IP進行禁止訪問。再一個根據客戶網站的實際情況設置
發送短信的頻率,與手機號綁定。另外一種防護辦法就是設計上驗證碼發送短信,每次提交獲取
短信都要輸入一次正確的圖文驗證碼。如果圖方便也可以是用隨機的token進行安全過濾,每個客
戶提交的token值都不一樣,與伺服器後端進行token比對。以上就是關於網站漏洞修復的方案與
辦法,如果您對網站漏洞修復不是太懂的話,也可以找專業的網站安全公司處理,國內
esafe,啟明星辰,綠盟都是比較不錯的安全公司,對網站的漏洞檢測與滲透測試一定要人
工的去檢測,才能確切的發現網站存在的問題,知彼知己,才能將網站安全做到最大化。
