短息碼驗(yàn)證完后��,直接注冊(cè)寫(xiě)數(shù)據(jù)庫(kù)����,通過(guò)修改phoneNum的值可以實(shí)現(xiàn)批量注冊(cè)賬號(hào):
通過(guò)修改phoneNum的值為15527xxxx96����、15527xxxx97可成功注冊(cè)這兩個(gè)賬號(hào):
該漏洞出現(xiàn)的原因在于后臺(tái)未校驗(yàn)驗(yàn)證碼的使用次數(shù)和時(shí)間,只校驗(yàn)了其準(zhǔn)確性�,因此可被利用進(jìn)行多次注冊(cè)。
代碼防護(hù)
目前遇到的大部分惡意注冊(cè)類的安全漏洞均為驗(yàn)證碼可被多次使用造成�����,我們建議后臺(tái)對(duì)驗(yàn)證碼的使用進(jìn)行限制�,任何的驗(yàn)證碼應(yīng)為一次性,防止驗(yàn)證碼被多次使用��。
2.5惡意短信
漏洞描述
惡意短信是一種類似于DDoS的攻擊方式���,他是利用網(wǎng)站的短信相關(guān)的功能�����,對(duì)用戶的手機(jī)進(jìn)行長(zhǎng)時(shí)間的短信轟炸�,導(dǎo)致手機(jī)癱瘓����。除了單純的短信轟炸之外���,我們?cè)跍y(cè)試過(guò)程中也發(fā)現(xiàn)��,部分金融交易平臺(tái)對(duì)所發(fā)送的短信內(nèi)容也并沒(méi)有進(jìn)行限制����,導(dǎo)致可被利用進(jìn)行短信欺詐。
案例
短信轟炸
在測(cè)試的過(guò)程中��,我們發(fā)現(xiàn)眾多的金融交易平臺(tái)僅在前端通過(guò)JS校驗(yàn)時(shí)間來(lái)控制短信發(fā)送按鈕����,但后臺(tái)并未對(duì)發(fā)送做任何限制,導(dǎo)致可通過(guò)重放包的方式大量發(fā)送惡意短信���。如某交易平臺(tái)的手機(jī)注冊(cè)處就出現(xiàn)過(guò)該類型漏洞����。利用fiddler抓取數(shù)據(jù)包��,并進(jìn)行重放可以繞過(guò)前端的限制�,大量發(fā)送惡意短信。
任意短信內(nèi)容編輯
在某平臺(tái)的修改綁定手機(jī)功能就曾出現(xiàn)過(guò)可編輯短信內(nèi)容的問(wèn)題�。
點(diǎn)擊“獲取短信驗(yàn)證碼”,并抓取數(shù)據(jù)包內(nèi)容���,如下圖�����。通過(guò)分析數(shù)據(jù)包��,可以發(fā)現(xiàn)參數(shù)sendData/insrotxt的內(nèi)容有客戶端控制��,可以修改為攻擊者想要發(fā)送的內(nèi)容
將內(nèi)容修改“恭喜你獲得由xx銀行所提供的iphone6一部��,請(qǐng)登錄http://www.xxx.com領(lǐng)取�����,驗(yàn)證碼為236694”并發(fā)送該數(shù)據(jù)包����,手機(jī)可收到修改后的短信內(nèi)容,如下圖:
該類型漏洞對(duì)系統(tǒng)的影響不大����,但若被攻擊者利用進(jìn)行短信欺詐,將嚴(yán)重影響平臺(tái)的聲譽(yù)��,甚至可能會(huì)惹上法律糾紛���。
小編推薦閱讀
