當前位置:首頁 >  站長 >  建站經(jīng)驗 >  正文

網(wǎng)站漏洞檢測之用戶密碼找回網(wǎng)站漏洞的安全分析與利用

 2018-08-20 14:52  來源: 用戶投稿   我來投稿 撤稿糾錯

  域名預訂/競價,好“米”不錯過

我們SINE安全在對網(wǎng)站,以及APP端進行網(wǎng)站安全檢測的時候發(fā)現(xiàn)很多公司網(wǎng)站以及業(yè)務平臺,APP存在著一些邏輯上的網(wǎng)站漏洞,有些簡簡單單的短信驗證碼可能就會給整個網(wǎng)站帶來很大的經(jīng)濟損失,很簡單的網(wǎng)站功能,比如用戶密碼找回上,也會存在繞過安全問題回答,或者繞過手機號碼,直接修改用戶的賬戶密碼。

在短信炸彈,以及用戶密碼找回的網(wǎng)站漏洞上,我們來跟大家分享一下如何利用以及如何防范該漏洞的攻擊。

我們來看下之前對客戶網(wǎng)站進行的網(wǎng)站安全檢測的時候我們發(fā)現(xiàn)到的短信炸彈漏洞,由于客戶反映注冊網(wǎng)站會員的時候會收到好幾條重復的驗證碼短信,甚至多次點擊提交也會導致收到好多條驗證碼信息,隨即我們SINE安全對其進行詳細的安全檢測,果然發(fā)現(xiàn)了問題,對注冊會員的時候確實存在多次發(fā)送短信的情況,我們對提交的數(shù)據(jù),GET,POST方式進行多次的安全測試,發(fā)現(xiàn)post數(shù)據(jù)的時候,在smg值后面隨意添加任何參數(shù),即可導致網(wǎng)站發(fā)送驗證碼短信到用戶手機上,可以發(fā)送無數(shù)條短信,如果被攻擊者利用,那帶來的損失無法估量。

對于這次檢測出來的短信炸彈漏洞,首先分析代碼,從之前程序員寫的代碼里看出,在用戶登錄這個過程代碼里沒有進行詳細的安全過濾,導致輸入用戶名密碼就可以發(fā)送驗證碼,再一個就是程序員設計的過程中將測試的手機號碼都存放于數(shù)據(jù)庫里,導致很多正常的用戶收到測試時候的短信驗證碼。再一個漏洞產(chǎn)生的原因,就是程序代碼里設計的初始化密碼為123456,導致在找回密碼重置密碼的時候就會進行寫入數(shù)據(jù)庫,攻擊者利用撞庫就可以很容易的猜測到用戶的密碼。

那么該如何防范短信炸彈漏洞呢?

從網(wǎng)站安全的角度來分析,以及網(wǎng)站安全部署層面上看,在短信平臺上可以做到防止短信無數(shù)發(fā)送,現(xiàn)在阿里云的短信平臺,可以做到防止多次發(fā)送短信到用戶手機,一個手機號一天只能接收5次短信的安全限制,再一個就是從程序代碼里進行安全加固,對注冊的會員,進行判斷,如果是一個IP,只能發(fā)送一條短信。用戶點擊獲取驗證碼前輸入圖文驗證碼,才能發(fā)送,間隔時間60秒才能發(fā)送一條短信。在整體的網(wǎng)站安全檢測中我們要提前告知客戶,我們在進行操作什么,網(wǎng)站漏洞掃描,網(wǎng)站漏洞利用,數(shù)據(jù)庫寫入刪除等比較重要的操作,都要事先跟客戶告知,提前對網(wǎng)站的數(shù)據(jù)進行整體的安全備份,包括數(shù)據(jù)庫的備份,網(wǎng)站源代碼的備份。在滲透測試當中我們要先進行安全評估,整體的安全檢測會不會給用戶帶來影響以及損失,盡可能的不要產(chǎn)生影響客戶網(wǎng)站訪問,以及業(yè)務正常運轉(zhuǎn)。下一篇文章跟大家分享用戶密碼找回漏洞的利用與分析。

本文來源:http://www.sinesafe.com/article/20180820

 

申請創(chuàng)業(yè)報道,分享創(chuàng)業(yè)好點子。點擊此處,共同探討創(chuàng)業(yè)新機遇!

相關文章

熱門排行

信息推薦