网站漏洞检测修复 短息轰炸漏洞检测与修补方案
很多公司网站的被攻击,被篡改,都是存在着网站漏洞隐患的,也有很多客户找到我们SINE安全公司,对自己公司网站进行渗透测试服务,以及网站的安全检测,漏洞检测整体的安全服务,我们SINE安全在日常对客户网站进行安全渗透的同时,发现都存在着手机号任意发短信的漏洞,简单来讲就是短信轰炸漏洞。尤其一些商城网站,平台网站,会员注册类型的网站都会使用手机号注册,以及微信注册,邮箱地址注册,这样做,方便大部分的用户可以快速的注册账号,登录网站使用。
那么在快捷,方便的需求下,网站的漏洞就会被忽视,从而被攻击者利用并进行恶意攻击,同行之家的竞争等等,都可以使用短信轰炸漏洞来使对方造成严重的损失。从公司方面来看问题,发送一条注册的短信验证码就会向短信提供商收取一定的费用,虽然目前一条短信可能几分钱,如果网站存在短信轰炸漏洞,那么被攻击者利用就可以造成很大的损失,也给网站的用户带来了很大的影响。
当网站出现短信轰炸漏洞的时候用户会觉得这个网站给他带来了骚扰,不停的发送短信,让用户反感至极。那么如何检测网站存在这个业务逻辑漏洞呢?
首先我们要从网站的各项功能上去渗透测试,安全测试,一般网站存在的功能是:会员账号注册功能,忘记密码找回功能上,会员绑定手机邮箱功能,设置取款密码使用手机验证,或者是某项重要的操作,提现,充值等功能上需要手机短信验证码,再一个是网站活动领取奖品功能上。我们来现场测试演练一下看看:
我们在用户注册功能里进行渗透测试,填好手机号点击注册,然后抓包数据,将截获到的POST数据包进行修改,不停的发送同样的POST数据到网站后端,如果手机号不停的收到短信,那么就可以证明网站存在短信轰炸漏洞。如下图:
关于短信轰炸漏洞的修复方案与办法
在网站代码端限制用户同一IP,一分钟提交POST的次数与频率,也可以对同一手机号进行1分钟获取一次短信的限制,如果发送量大对该IP进行禁止访问。再一个根据客户网站的实际情况设置发送短信的频率,与手机号绑定。另外一种防护办法就是设计上验证码发送短信,每次提交获取短信都要输入一次正确的图文验证码。如果图方便也可以是用随机的token进行安全过滤,每个客户提交的token值都不一样,与服务器后端进行token比对。以上就是关于网站漏洞修复的方案与办法,如果您对网站漏洞修复不是太懂的话,也可以找专业的网站安全公司处理,国内SINESAFE,启明星辰,绿盟都是比较不错的安全公司,对网站的漏洞检测与渗透测试一定要人工的去检测,才能确切的发现网站存在的问题,知彼知己,才能将网站安全做到最大化。
网站漏洞检测修复 短息轰炸漏洞检测与修补方案相关推荐
- 网站安全检测 针对于手机短信轰炸漏洞的检测与修复办法
很多公司网站的被攻击,被篡改,都是存在着网站漏洞隐患的,也有很多客户找到我们SINE安全公司,对自己公司网站进行渗透测试服务,以及网站的安全检测,漏洞检测整体的安全服务,我们SINE安全在日常对客户网 ...
- 【网络安全】——逻辑漏洞之短信轰炸漏洞
作者名:Demo不是emo 主页面链接:主页传送门 创作初心:舞台再大,你不上台,永远是观众,没人会关心你努不努力,摔的痛不痛,他们只会看你最后站在什么位置,然后羡慕或鄙夷 座右铭:不要让时代的悲哀 ...
- php文件跨站漏洞防御,修复PHP跨站脚本攻击漏洞(XSS)方法
1.昨天360站长之家开通官网直达,安全报高突然报[高危]跨站脚本攻击漏洞,必须修复才可进行官网直达. 2.神马是XSS,额我也不懂,百度如下: 用户在浏览网站.使用即时通讯软件.甚至在阅读电子邮件时 ...
- php配置cors跨域漏洞怎么修复,CORS跨域漏洞的简单认识
CORS CORS(Cross-origin resource sharing),又称跨域资源共享.CORS的内容不叙述,可以阅读MDN文档.或者,阅读这篇文章:跨域资源共享 CORS 详解,同时还需 ...
- 常见web安全漏洞及修复建议
文章目录 常见WEB漏洞 高危漏洞 SQL Injection(SQL注入攻击) 漏洞描述 修复建议 Cross-site scripting(跨站脚本攻击,简称XSS) 漏洞描述 修复建议 Brok ...
- 网站安全检测 漏洞检测 对thinkphp通杀漏洞利用与修复建议
thinkphp在国内来说,很多站长以及平台都在使用这套开源的系统来建站,为什么会这么深受大家的喜欢,第一开源,便捷,高效,生成静态化html,第二框架性的易于开发php架构,很多第三方的插件以及第三 ...
- IIS短文件名泄露漏洞修复
一. 什么是IIS Internet Information Services(IIS,以前称为Internet Information Server)互联网信息服务是Microsoft公司提供的可扩 ...
- 共用软件现漏洞未修复,一年来美国数十个政府网站在推送色情广告
聚焦源代码安全,网罗国内外最新资讯! 专栏·供应链安全 数字化时代,软件无处不在.软件如同社会中的"虚拟人",已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为 ...
- THINKPHP网站漏洞怎么修复解决
THINKPHP漏洞修复,官方于近日,对现有的thinkphp5.0到5.1所有版本进行了升级,以及补丁更新,这次更新主要是进行了一些漏洞修复,最严重的就是之前存在的SQL注入漏洞,以及远程代码执行查 ...
最新文章
- ARM NEON 优化
- ML之LiRLasso:基于datasets糖尿病数据集利用LiR和Lasso算法进行(9→1)回归预测(三维图散点图可视化)
- mysql完整字段包括_MySQL字段类型最全解析
- 赶集网人事调整:三月内两副总离职
- 人工智能实战_第七次作业_杨佳宁(2)
- ddr读时序波形_测试新体验|如何解决DDR内存系统测试难题?
- mergesort_Mergesort算法的功能方法
- java struts1_struts1.x
- 浙江电信网上营业厅的一个BUG(有更新)
- UI实用素材|电子商务界面模板
- C++/面试 - 四种类型转换(cast)的关键字 详解 及 代码
- PHP计算计算时间差,php中计算时间差的几种方法
- 传智播客Java 方法
- IOS-App Store 提审应用步骤
- github 本地提交代码到服务器
- c语言实现注册页面窗口,C语言控制台程序实现的注册登录
- 什么是宝塔面板?宝塔面板的作用和功能是什么?
- 几个命令查看ELF文件的“秘密”
- Unity3D操作数据之Txt文档操作(创建、读取、写入、修改)
- 信度不达标的处理方式