网站建设
当前位置:主页 > 建站资讯 > 网站建设 >
网站安全检测手机短信爆炸漏洞的检测和修复方法
发布日期:2021-04-17 阅读次数: 字体大小:

许多公司网站已受到攻击和篡改,并且存在网站漏洞的隐患。 也有许多客户找到我们的SINE安全公司在其自己的公司网站上进行渗透测试服务,以及网站安全检查和漏洞检查。 尽管SINE Security每天在客户网站上进行安全渗透,但我们发现手机号任意文本中存在漏洞,这仅仅是一个短消息轰炸漏洞。 特别是某些购物中心网站,平台网站和会员注册类型的网站将使用手机号注册,以及微信注册电子邮件地址注册。 这使大多数用户可以方便地快速注册帐户并登录网站。
然后,在快速便捷的需求下,该网站的漏洞将被忽略,攻击者将利用该漏洞在同一行业的家中进行恶意攻击,竞争等,可以使用SMS轰炸 易造成严重损失的另一方损失。 从公司的角度来看,发送注册的SMS验证码将向SMS提供商收取一定的费用。 虽然目前一条SMS可能要花费几美分,但是如果该网站具有SMS炸弹漏洞,则攻击者可以使用它。 巨大的损失也给网站的用户带来了巨大的影响。
当网站上出现SMS炸弹漏洞时,用户会感到该网站给他带来了骚扰,并不断发送短信,这使用户极为反感。 那么,如何检测网站中存在此业务逻辑漏洞呢?
首先,我们必须从网站的各种功能进行渗透测试和安全测试。 网站的一般功能是:会员账号注册功能,忘记密码找回功能,会员绑定手机邮件功能,设置取款密码以使用手机验证,或者对于某些重要操作,需要手机短信验证码 用于提现,充值等功能,另一种是在网站活动中获得奖品的功能。 让我们看一下现场测试练习:

网站安全检测手机短信爆炸漏洞的检测和修复方法

我们在用户注册功能中执行渗透测试,填写手机号单击以进行注册,然后捕获数据包数据,修改被拦截的post数据包,然后将相同的POST数据连续发送到网站的后端(如果手机号)。 如果您继续收到短信,则可以证明该网站存在短信爆炸漏洞。 如下图所示:

网站安全检测手机短信爆炸漏洞的检测和修复方法


SMS炸弹漏洞的补救方案和方法
在网站的代码侧,限制POST提交的数量和频率 一分钟内提供给具有相同IP的用户。 相同的手机号可以限制为每1分钟收到一条短消息,如果发送量很大,则禁止访问该IP。 另一个是根据客户网站的实际情况设置发送短信的频率,并将其绑定到手机号。 另一种保护方法是设计一个发送短信的验证码,并在每次提交并收到短信时输入正确的图形验证码。 如果图片方便,还可以使用随机token进行安全过滤。 每个客户提交的token值是不同的,并将其与服务器后端token进行比较。 以上是网站漏洞修复的解决方案和方法。 如果您不熟悉网站漏洞修复,还可以找专业的网站安全公司来处理。 国内的SINESAFE,Venus Star和NSFOCUS都是相对较好的安全公司。 必须手动进行漏洞检测和渗透测试,以便发现网站的问题并了解敌人,并最大程度地提高网站的安全性。

标签:Tokentoken值手机号微信注册POST数据包