當(dāng)前位置:首頁(yè) >  站長(zhǎng) >  建站經(jīng)驗(yàn) >  正文

網(wǎng)站漏洞檢測(cè)之用戶密碼找回網(wǎng)站漏洞的安全分析與利用

 2018-08-20 14:52  來(lái)源: 用戶投稿   我來(lái)投稿 撤稿糾錯(cuò)

  域名預(yù)訂/競(jìng)價(jià),好“米”不錯(cuò)過(guò)

我們SINE安全在對(duì)網(wǎng)站,以及APP端進(jìn)行網(wǎng)站安全檢測(cè)的時(shí)候發(fā)現(xiàn)很多公司網(wǎng)站以及業(yè)務(wù)平臺(tái),APP存在著一些邏輯上的網(wǎng)站漏洞,有些簡(jiǎn)簡(jiǎn)單單的短信驗(yàn)證碼可能就會(huì)給整個(gè)網(wǎng)站帶來(lái)很大的經(jīng)濟(jì)損失,很簡(jiǎn)單的網(wǎng)站功能,比如用戶密碼找回上,也會(huì)存在繞過(guò)安全問題回答,或者繞過(guò)手機(jī)號(hào)碼,直接修改用戶的賬戶密碼。

在短信炸彈,以及用戶密碼找回的網(wǎng)站漏洞上,我們來(lái)跟大家分享一下如何利用以及如何防范該漏洞的攻擊。

我們來(lái)看下之前對(duì)客戶網(wǎng)站進(jìn)行的網(wǎng)站安全檢測(cè)的時(shí)候我們發(fā)現(xiàn)到的短信炸彈漏洞,由于客戶反映注冊(cè)網(wǎng)站會(huì)員的時(shí)候會(huì)收到好幾條重復(fù)的驗(yàn)證碼短信,甚至多次點(diǎn)擊提交也會(huì)導(dǎo)致收到好多條驗(yàn)證碼信息,隨即我們SINE安全對(duì)其進(jìn)行詳細(xì)的安全檢測(cè),果然發(fā)現(xiàn)了問題,對(duì)注冊(cè)會(huì)員的時(shí)候確實(shí)存在多次發(fā)送短信的情況,我們對(duì)提交的數(shù)據(jù),GET,POST方式進(jìn)行多次的安全測(cè)試,發(fā)現(xiàn)post數(shù)據(jù)的時(shí)候,在smg值后面隨意添加任何參數(shù),即可導(dǎo)致網(wǎng)站發(fā)送驗(yàn)證碼短信到用戶手機(jī)上,可以發(fā)送無(wú)數(shù)條短信,如果被攻擊者利用,那帶來(lái)的損失無(wú)法估量。

對(duì)于這次檢測(cè)出來(lái)的短信炸彈漏洞,首先分析代碼,從之前程序員寫的代碼里看出,在用戶登錄這個(gè)過(guò)程代碼里沒有進(jìn)行詳細(xì)的安全過(guò)濾,導(dǎo)致輸入用戶名密碼就可以發(fā)送驗(yàn)證碼,再一個(gè)就是程序員設(shè)計(jì)的過(guò)程中將測(cè)試的手機(jī)號(hào)碼都存放于數(shù)據(jù)庫(kù)里,導(dǎo)致很多正常的用戶收到測(cè)試時(shí)候的短信驗(yàn)證碼。再一個(gè)漏洞產(chǎn)生的原因,就是程序代碼里設(shè)計(jì)的初始化密碼為123456,導(dǎo)致在找回密碼重置密碼的時(shí)候就會(huì)進(jìn)行寫入數(shù)據(jù)庫(kù),攻擊者利用撞庫(kù)就可以很容易的猜測(cè)到用戶的密碼。

那么該如何防范短信炸彈漏洞呢?

從網(wǎng)站安全的角度來(lái)分析,以及網(wǎng)站安全部署層面上看,在短信平臺(tái)上可以做到防止短信無(wú)數(shù)發(fā)送,現(xiàn)在阿里云的短信平臺(tái),可以做到防止多次發(fā)送短信到用戶手機(jī),一個(gè)手機(jī)號(hào)一天只能接收5次短信的安全限制,再一個(gè)就是從程序代碼里進(jìn)行安全加固,對(duì)注冊(cè)的會(huì)員,進(jìn)行判斷,如果是一個(gè)IP,只能發(fā)送一條短信。用戶點(diǎn)擊獲取驗(yàn)證碼前輸入圖文驗(yàn)證碼,才能發(fā)送,間隔時(shí)間60秒才能發(fā)送一條短信。在整體的網(wǎng)站安全檢測(cè)中我們要提前告知客戶,我們?cè)谶M(jìn)行操作什么,網(wǎng)站漏洞掃描,網(wǎng)站漏洞利用,數(shù)據(jù)庫(kù)寫入刪除等比較重要的操作,都要事先跟客戶告知,提前對(duì)網(wǎng)站的數(shù)據(jù)進(jìn)行整體的安全備份,包括數(shù)據(jù)庫(kù)的備份,網(wǎng)站源代碼的備份。在滲透測(cè)試當(dāng)中我們要先進(jìn)行安全評(píng)估,整體的安全檢測(cè)會(huì)不會(huì)給用戶帶來(lái)影響以及損失,盡可能的不要產(chǎn)生影響客戶網(wǎng)站訪問,以及業(yè)務(wù)正常運(yùn)轉(zhuǎn)。下一篇文章跟大家分享用戶密碼找回漏洞的利用與分析。

本文來(lái)源:http://www.sinesafe.com/article/20180820

 

申請(qǐng)創(chuàng)業(yè)報(bào)道,分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處,共同探討創(chuàng)業(yè)新機(jī)遇!

相關(guān)標(biāo)簽
網(wǎng)站漏洞檢測(cè)
漏洞檢測(cè)

相關(guān)文章

加載更多

熱門排行

信息推薦