短息碼驗證完后,直接注冊寫數(shù)據(jù)庫,通過修改phoneNum的值可以實現(xiàn)批量注冊賬號:
通過修改phoneNum的值為15527xxxx96�����、15527xxxx97可成功注冊這兩個賬號:
該漏洞出現(xiàn)的原因在于后臺未校驗驗證碼的使用次數(shù)和時間�����,只校驗了其準確性����,因此可被利用進行多次注冊�����。
代碼防護
目前遇到的大部分惡意注冊類的安全漏洞均為驗證碼可被多次使用造成�,我們建議后臺對驗證碼的使用進行限制,任何的驗證碼應(yīng)為一次性����,防止驗證碼被多次使用。
2.5惡意短信
漏洞描述
惡意短信是一種類似于DDoS的攻擊方式��,他是利用網(wǎng)站的短信相關(guān)的功能���,對用戶的手機進行長時間的短信轟炸����,導(dǎo)致手機癱瘓����。除了單純的短信轟炸之外��,我們在測試過程中也發(fā)現(xiàn)�����,部分金融交易平臺對所發(fā)送的短信內(nèi)容也并沒有進行限制�,導(dǎo)致可被利用進行短信欺詐����。
案例
短信轟炸
在測試的過程中,我們發(fā)現(xiàn)眾多的金融交易平臺僅在前端通過JS校驗時間來控制短信發(fā)送按鈕�,但后臺并未對發(fā)送做任何限制,導(dǎo)致可通過重放包的方式大量發(fā)送惡意短信��。如某交易平臺的手機注冊處就出現(xiàn)過該類型漏洞���。利用fiddler抓取數(shù)據(jù)包�����,并進行重放可以繞過前端的限制��,大量發(fā)送惡意短信����。
任意短信內(nèi)容編輯
在某平臺的修改綁定手機功能就曾出現(xiàn)過可編輯短信內(nèi)容的問題。
點擊“獲取短信驗證碼”��,并抓取數(shù)據(jù)包內(nèi)容��,如下圖��。通過分析數(shù)據(jù)包�����,可以發(fā)現(xiàn)參數(shù)sendData/insrotxt的內(nèi)容有客戶端控制�,可以修改為攻擊者想要發(fā)送的內(nèi)容
將內(nèi)容修改“恭喜你獲得由xx銀行所提供的iphone6一部�����,請登錄http://www.xxx.com領(lǐng)取��,驗證碼為236694”并發(fā)送該數(shù)據(jù)包�,手機可收到修改后的短信內(nèi)容,如下圖:
該類型漏洞對系統(tǒng)的影響不大����,但若被攻擊者利用進行短信欺詐�����,將嚴重影響平臺的聲譽�����,甚至可能會惹上法律糾紛���。
小編推薦閱讀
