網站滲透測試服務之簡訊轟炸漏洞挖掘與修復

很多公司網站的被攻擊，被篡改，都是存在著網站漏洞隱患的，也有很多客戶找到我們SINE安全公司，對自己公司網站進行滲透測試服務，以及網站的安全檢測，漏洞檢測整體的安全服務，我們SINE安全在日常對客戶網站進行安全滲透的同時，發現都存在著手機號任意發簡訊的漏洞，簡單來講就是簡訊轟炸漏洞。尤其一些商城網站，平臺網站，會員註冊型別的網站都會使用手機號註冊，以及微信註冊，郵箱地址註冊，這樣做，方便大部分的使用者可以快速的註冊賬號，登入網站使用。

那麼在快捷，方便的需求下，網站的漏洞就會被忽視，從而被攻擊者利用並進行惡意攻擊，同行之家的競爭等等，都可以使用簡訊轟炸漏洞來使對方造成嚴重的損失。從公司方面來看問題，傳送一條註冊的簡訊驗證碼就會向簡訊提供商收取一定的費用，雖然目前一條簡訊可能幾分錢，如果網站存在簡訊轟炸漏洞，那麼被攻擊者利用就可以造成很大的損失，也給網站的使用者帶來了很大的影響。

當網站出現簡訊轟炸漏洞的時候使用者會覺得這個網站給他帶來了騷擾，不停的傳送簡訊，讓使用者反感至極。那麼如何檢測網站存在這個業務邏輯漏洞呢？

首先我們要從網站的各項功能上去滲透測試，安全測試，一般網站存在的功能是：會員賬號註冊功能，忘記密碼找回功能上，會員繫結手機郵箱功能，設定取款密碼使用手機驗證，或者是某項重要的操作，提現，充值等功能上需要手機簡訊驗證碼，再一個是網站活動領取獎品功能上。我們來現場測試演練一下看看：

我們在使用者註冊功能裡進行滲透測試，填好手機號點選註冊，然後抓包資料，將截獲到的POST資料包進行修改，不停的傳送同樣的POST資料到網站後端，如果手機號不停的收到簡訊，那麼就可以證明網站存在簡訊轟炸漏洞。如下圖：

關於簡訊轟炸漏洞的修復方案與辦法

在網站程式碼端限制使用者同一IP，一分鐘提交POST的次數與頻率，也可以對同一手機號進行1分鐘獲取一次簡訊的限制，如果傳送量大對該IP進行禁止訪問。再一個根據客戶網站的實際情況設定傳送簡訊的頻率，與手機號繫結。另外一種防護辦法就是設計上驗證碼傳送簡訊，每次提交獲取簡訊都要輸入一次正確的圖文驗證碼。如果圖方便也可以是用隨機的token進行安全過濾，每個客戶提交的token值都不一樣，與伺服器後端進行token比對。以上就是關於網站漏洞修復的方案與辦法，如果您對網站漏洞修復不是太懂的話，也可以找專業的網站安全公司處理，國內SINESAFE，啟明星辰，綠盟都是比較不錯的安全公司，對網站的漏洞檢測與滲透測試一定要人工的去檢測，才能確切的發現網站存在的問題，知彼知己，才能將網站安全做到最大化。