很多公司网站的被攻击,被篡改,都是存在着网站漏洞隐患的,也有很多客户找到我们SINE安全公司,对自己公司网站进行渗透测试服务,以及网站的安全检测,漏洞检测整体的安全服务,我们SINE安全在日常对客户网站进行安全渗透的同时,发现都存在着手机号任意发短信的漏洞,简单来讲就是短信轰炸漏洞。尤其一些商城网站,平台网站,会员注册类型的网站都会使用手机号注册,以及微信注册,邮箱地址注册,这样做,方便大部分的用户可以快速的注册账号,登录网站使用。

那么在快捷,方便的需求下,网站的漏洞就会被忽视,从而被攻击者利用并进行恶意攻击,同行之家的竞争等等,都可以使用短信轰炸漏洞来使对方造成严重的损失。从公司方面来看问题,发送一条注册的短信验证码就会向短信提供商收取一定的费用,虽然目前一条短信可能几分钱,如果网站存在短信轰炸漏洞,那么被攻击者利用就可以造成很大的损失,也给网站的用户带来了很大的影响。

当网站出现短信轰炸漏洞的时候用户会觉得这个网站给他带来了骚扰,不停的发送短信,让用户反感至极。那么如何检测网站存在这个业务逻辑漏洞呢?

首先我们要从网站的各项功能上去渗透测试,安全测试,一般网站存在的功能是:会员账号注册功能,忘记密码找回功能上,会员绑定手机邮箱功能,设置取款密码使用手机验证,或者是某项重要的操作,提现,充值等功能上需要手机短信验证码,再一个是网站活动领取奖品功能上。我们来现场测试演练一下看看:

我们在用户注册功能里进行渗透测试,填好手机号点击注册,然后抓包数据,将截获到的POST数据包进行修改,不停的发送同样的POST数据到网站后端,如果手机号不停的收到短信,那么就可以证明网站存在短信轰炸漏洞。如下图:

关于短信轰炸漏洞的修复方案与办法

在网站代码端限制用户同一IP,一分钟提交POST的次数与频率,也可以对同一手机号进行1分钟获取一次短信的限制,如果发送量大对该IP进行禁止访问。再一个根据客户网站的实际情况设置发送短信的频率,与手机号绑定。另外一种防护办法就是设计上验证码发送短信,每次提交获取短信都要输入一次正确的图文验证码。如果图方便也可以是用随机的token进行安全过滤,每个客户提交的token值都不一样,与服务器后端进行token比对。以上就是关于网站漏洞修复的方案与办法,如果您对网站漏洞修复不是太懂的话,也可以找专业的网站安全公司处理,国内SINESAFE,启明星辰,绿盟都是比较不错的安全公司,对网站的漏洞检测与渗透测试一定要人工的去检测,才能确切的发现网站存在的问题,知彼知己,才能将网站安全做到最大化。

转载于:https://my.oschina.net/u/3887295/blog/3065024

网站安全检测 针对于手机短信轰炸漏洞的检测与修复办法相关推荐

  1. 【网络安全】——逻辑漏洞之短信轰炸漏洞

    作者名:Demo不是emo  主页面链接:主页传送门 创作初心:舞台再大,你不上台,永远是观众,没人会关心你努不努力,摔的痛不痛,他们只会看你最后站在什么位置,然后羡慕或鄙夷 座右铭:不要让时代的悲哀 ...

  2. 手机短信接收验证码的实现原理

    关于手机短信接收验证码的实现原理: 思路: A:获得验证码: 1.找到相关的表. 2.用什么发送,post,get ,ajax,当然ajax首选 3.post之前要js先判断是手机号码11位,并且全部 ...

  3. 手机短信验证码接口在各领域的应用

    很多网站.APP应用.内部管理软件在使用过程中,都需要会员进行手机号码验证.登录验证.操作验证,在各种验证形式中,手机短信验证的方式最为简单和方便.根据不同的应用领域,手机短信验证可以广泛应用在如下方 ...

  4. 手机短信接收验证码的实现原理:

    关于手机短信接收验证码的实现原理: 思路: A:获得验证码: 1.找到相关的表. 2.用什么发送,post,get ,ajax,当然ajax首选 3.post之前要js先判断是手机号码11位,并且全部 ...

  5. 网站漏洞检测修复 短息轰炸漏洞检测与修补方案

    很多公司网站的被攻击,被篡改,都是存在着网站漏洞隐患的,也有很多客户找到我们SINE安全公司,对自己公司网站进行渗透测试服务,以及网站的安全检测,漏洞检测整体的安全服务,我们SINE安全在日常对客户网 ...

  6. 为 Asp.net 网站新增发送手机短信功能

    本文旨在帮助那些为网站发送手机短信正在寻求解决方案还未最终找到解决方案的朋友提供参考. 适合人群 须满足一下条件之一,如果以下3个条件您都不满足,为节约您宝贵的时间,请终止阅读本篇文章. 条件如下: ...

  7. Atitit. 破解  拦截 绕过 网站 手机 短信 验证码  方式 v2 attilax 总结

    Atitit. 破解  拦截 绕过 网站 手机 短信 验证码  方式 v2 attilax 总结 1. 验证码的前世今生1 1.1. 第一代验证码 图片验证码1 1.2. 第二代验证码  用户操作 , ...

  8. 手机网站实现一键拨号及html5短信发送功能JS代码(微信适用)

    手机网站实现一键拨号及html5短信发送功能JS代码(微信适用) 来源:本站原创    作者:温州中网网络营销机构    发布时间:2014-1-10 10:45:44    点击数:3069 微信微 ...

  9. atitit 破解 拦截 绕过 网站 手机 短信 验证码 之自动获取手机短信方式 attilax 总结

    atitit.破解  拦截 绕过 网站 手机 短信 验证码 之自动获取手机短信方式 attilax 总结 1. 自动获取手机短信方式的原理 1 2. 调用api 1 3. ----核心代码 2 4.  ...

最新文章

  1. 在asp.net中使用jQuery实现类似QQ网站的图片切割效果
  2. asp.net访问被拒绝,程序集无法加载原因与解决方法[摘录]
  3. ubuntu16.04安装php5出现Package php5 have no installation candidate,解决方法
  4. 中国存储器行业应用趋势与投资机遇研究报告2022版
  5. web前端入门学习 css(8)(新增语义化标签、video/audio、新增input类型、新增表单属性、属性选择器、结构伪类选择器、伪元素选择器、css3盒子模型、模糊、calc函数、过渡
  6. GIt本地相关操作(一)
  7. 科大星云诗社动态20210205
  8. K8S的 Custom Resource Definition(CRD)之初体验
  9. 5,6,7_InfluxDB数据保留策略,InfluxDB的关键概念,带有时区进行查询示例
  10. 用Python绘制棒棒糖图表,真的好看!
  11. CUDA编译器nvcc的用法用例与问题简答
  12. mysql 一条记录的某个字段为空,是否占用存储
  13. vfpodbc.dll下载, 各版本下载,包含所有版本
  14. xshell查看hdfs文件目录路径_hdfs的shell操作
  15. 开源KVM管理工具和平台
  16. 计算机网络职业生涯规划书模板前言,计算机网络技术专业个人职业生涯规划书(参考模板).doc...
  17. 双击计算机图标无法打开,我的电脑图标打不开_我的电脑双击打不开了
  18. Android RemoteViews 解析
  19. 数据仓库十大主题;TeraData金融数据模型
  20. Deformable ConvNets v2 原理与代码解析

热门文章

  1. matlab仿真报告,电路Matlab仿真实验精选报告.docx
  2. 403 Forbidden You don‘t have permission to access this resource. Apache Server at IP Port 80的解决方法
  3. 鸡汤_下班后,该做什么
  4. Windows下SecureCRT的下载、安装、使用、配置【Telnet/ssh/Serial】
  5. 英特尔在建造《银翼杀手》中的世界
  6. js实现xml转json
  7. 解决DIV 层被FLASH遮挡了
  8. 如何引用YouTube视频?(APA、MLA、芝加哥、温哥华格式)
  9. 在线运行php画图,PHP 写的代码在线运行工具
  10. 免费领取中高职组计算机检测维修与数据恢复国赛考题