域名預(yù)訂/競(jìng)價(jià),好“米”不錯(cuò)過(guò)
很多公司網(wǎng)站的被攻擊,被篡改,都是存在著網(wǎng)站漏洞隱患的,也有很多客戶找到我們SINE安全公司,對(duì)自己公司網(wǎng)站進(jìn)行滲透測(cè)試服務(wù),以及網(wǎng)站的安全檢測(cè),漏洞檢測(cè)整體的安全服務(wù),我們SINE安全在日常對(duì)客戶網(wǎng)站進(jìn)行安全滲透的同時(shí),發(fā)現(xiàn)都存在著手機(jī)號(hào)任意發(fā)短信的漏洞,簡(jiǎn)單來(lái)講就是短信轟炸漏洞。尤其一些商城網(wǎng)站,平臺(tái)網(wǎng)站,會(huì)員注冊(cè)類型的網(wǎng)站都會(huì)使用手機(jī)號(hào)注冊(cè),以及微信注冊(cè),郵箱地址注冊(cè),這樣做,方便大部分的用戶可以快速的注冊(cè)賬號(hào),登錄網(wǎng)站使用。
那么在快捷,方便的需求下,網(wǎng)站的漏洞就會(huì)被忽視,從而被攻擊者利用并進(jìn)行惡意攻擊,同行之家的競(jìng)爭(zhēng)等等,都可以使用短信轟炸漏洞來(lái)使對(duì)方造成嚴(yán)重的損失。從公司方面來(lái)看問(wèn)題,發(fā)送一條注冊(cè)的短信驗(yàn)證碼就會(huì)向短信提供商收取一定的費(fèi)用,雖然目前一條短信可能幾分錢,如果網(wǎng)站存在短信轟炸漏洞,那么被攻擊者利用就可以造成很大的損失,也給網(wǎng)站的用戶帶來(lái)了很大的影響。
當(dāng)網(wǎng)站出現(xiàn)短信轟炸漏洞的時(shí)候用戶會(huì)覺(jué)得這個(gè)網(wǎng)站給他帶來(lái)了騷擾,不停的發(fā)送短信,讓用戶反感至極。那么如何檢測(cè)網(wǎng)站存在這個(gè)業(yè)務(wù)邏輯漏洞呢?
首先我們要從網(wǎng)站的各項(xiàng)功能上去滲透測(cè)試,安全測(cè)試,一般網(wǎng)站存在的功能是:會(huì)員賬號(hào)注冊(cè)功能,忘記密碼找回功能上,會(huì)員綁定手機(jī)郵箱功能,設(shè)置取款密碼使用手機(jī)驗(yàn)證,或者是某項(xiàng)重要的操作,提現(xiàn),充值等功能上需要手機(jī)短信驗(yàn)證碼,再一個(gè)是網(wǎng)站活動(dòng)領(lǐng)取獎(jiǎng)品功能上。我們來(lái)現(xiàn)場(chǎng)測(cè)試演練一下看看:
我們?cè)谟脩糇?cè)功能里進(jìn)行滲透測(cè)試,填好手機(jī)號(hào)點(diǎn)擊注冊(cè),然后抓包數(shù)據(jù),將截獲到的POST數(shù)據(jù)包進(jìn)行修改,不停的發(fā)送同樣的POST數(shù)據(jù)到網(wǎng)站后端,如果手機(jī)號(hào)不停的收到短信,那么就可以證明網(wǎng)站存在短信轟炸漏洞。如下圖:
關(guān)于短信轟炸漏洞的修復(fù)方案與辦法
在網(wǎng)站代碼端限制用戶同一IP,一分鐘提交POST的次數(shù)與頻率,也可以對(duì)同一手機(jī)號(hào)進(jìn)行1分鐘獲取一次短信的限制,如果發(fā)送量大對(duì)該IP進(jìn)行禁止訪問(wèn)。再一個(gè)根據(jù)客戶網(wǎng)站的實(shí)際情況設(shè)置發(fā)送短信的頻率,與手機(jī)號(hào)綁定。另外一種防護(hù)辦法就是設(shè)計(jì)上驗(yàn)證碼發(fā)送短信,每次提交獲取短信都要輸入一次正確的圖文驗(yàn)證碼。如果圖方便也可以是用隨機(jī)的token進(jìn)行安全過(guò)濾,每個(gè)客戶提交的token值都不一樣,與服務(wù)器后端進(jìn)行token比對(duì)。以上就是關(guān)于網(wǎng)站漏洞修復(fù)的方案與辦法,如果您對(duì)網(wǎng)站漏洞修復(fù)不是太懂的話,也可以找專業(yè)的網(wǎng)站安全公司處理,國(guó)內(nèi)SINESAFE,啟明星辰,綠盟都是比較不錯(cuò)的安全公司,對(duì)網(wǎng)站的漏洞檢測(cè)與滲透測(cè)試一定要人工的去檢測(cè),才能確切的發(fā)現(xiàn)網(wǎng)站存在的問(wèn)題,知彼知己,才能將網(wǎng)站安全做到最大化。
申請(qǐng)創(chuàng)業(yè)報(bào)道,分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處,共同探討創(chuàng)業(yè)新機(jī)遇!