網站滲透測試服務之簡訊轟炸漏洞挖掘與修復
很多公司網站的被攻擊,被篡改,都是存在著網站漏洞隱患的,也有很多客戶找到我們SINE安全公司,對自己公司網站進行滲透測試服務,以及網站的安全檢測,漏洞檢測整體的安全服務,我們SINE安全在日常對客戶網站進行安全滲透的同時,發現都存在著手機號任意發簡訊的漏洞,簡單來講就是簡訊轟炸漏洞。尤其一些商城網站,平臺網站,會員註冊型別的網站都會使用手機號註冊,以及微信註冊,郵箱地址註冊,這樣做,方便大部分的使用者可以快速的註冊賬號,登入網站使用。
那麼在快捷,方便的需求下,網站的漏洞就會被忽視,從而被攻擊者利用並進行惡意攻擊,同行之家的競爭等等,都可以使用簡訊轟炸漏洞來使對方造成嚴重的損失。從公司方面來看問題,傳送一條註冊的簡訊驗證碼就會向簡訊提供商收取一定的費用,雖然目前一條簡訊可能幾分錢,如果網站存在簡訊轟炸漏洞,那麼被攻擊者利用就可以造成很大的損失,也給網站的使用者帶來了很大的影響。
當網站出現簡訊轟炸漏洞的時候使用者會覺得這個網站給他帶來了騷擾,不停的傳送簡訊,讓使用者反感至極。那麼如何檢測網站存在這個業務邏輯漏洞呢?
首先我們要從網站的各項功能上去滲透測試,安全測試,一般網站存在的功能是:會員賬號註冊功能,忘記密碼找回功能上,會員繫結手機郵箱功能,設定取款密碼使用手機驗證,或者是某項重要的操作,提現,充值等功能上需要手機簡訊驗證碼,再一個是網站活動領取獎品功能上。我們來現場測試演練一下看看:
我們在使用者註冊功能裡進行滲透測試,填好手機號點選註冊,然後抓包資料,將截獲到的POST資料包進行修改,不停的傳送同樣的POST資料到網站後端,如果手機號不停的收到簡訊,那麼就可以證明網站存在簡訊轟炸漏洞。如下圖:
關於簡訊轟炸漏洞的修復方案與辦法
在網站程式碼端限制使用者同一IP,一分鐘提交POST的次數與頻率,也可以對同一手機號進行1分鐘獲取一次簡訊的限制,如果傳送量大對該IP進行禁止訪問。再一個根據客戶網站的實際情況設定傳送簡訊的頻率,與手機號繫結。另外一種防護辦法就是設計上驗證碼傳送簡訊,每次提交獲取簡訊都要輸入一次正確的圖文驗證碼。如果圖方便也可以是用隨機的token進行安全過濾,每個客戶提交的token值都不一樣,與伺服器後端進行token比對。以上就是關於網站漏洞修復的方案與辦法,如果您對網站漏洞修復不是太懂的話,也可以找專業的網站安全公司處理,國內SINESAFE,啟明星辰,綠盟都是比較不錯的安全公司,對網站的漏洞檢測與滲透測試一定要人工的去檢測,才能確切的發現網站存在的問題,知彼知己,才能將網站安全做到最大化。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/31542418/viewspace-2648424/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 網站安全滲透測試服務之discuz漏洞挖掘與利用網站
- 網站漏洞測試 檔案上傳漏洞的安全滲透與修復網站
- 網站安全測試之APP滲透測試漏洞網站APP
- 看雪網站滲透測試服務網站
- 網站漏洞滲透測試服務內容詳情見解網站
- 網站註冊簡訊介面遭到簡訊轟炸機轟炸處理方案網站
- 滲透測試對網站漏洞修復執行命令重點檢查網站
- 網站滲透測試安全檢測漏洞網站
- 滲透測試公司 對於越權漏洞的檢測與修復
- 如何學習網站漏洞滲透測試學習網站
- 網站漏洞處理修復服務之lankecms篡改漏洞網站
- 網站漏洞檢測 滲透測試檢測手法網站
- 企業網站如何做滲透測試服務網站
- 網站滲透測試服務之人工安全防護網站
- 企業網站安全滲透測試服務範圍網站
- 如何降低網站滲透測試服務的成本價格網站
- 網站程式碼漏洞審計挖掘與修復方法網站
- 用APP滲透測試來查詢網站被駭客攻擊的根源以及漏洞修復APP網站
- 滲透測試對檔案包含漏洞網站檢測網站
- 網站滲透測試漏洞分析程式碼架構網站架構
- beescms網站滲透測試網站
- semcms網站漏洞挖掘過程與安全修復防範網站
- 滲透測試網站安全漏洞檢測大體方法網站
- 針對網路服務的滲透測試
- APP滲透測試 深入挖掘漏洞以及如何防止攻擊APP
- 網站安全公司 滲透測試中的漏洞資訊蒐集網站
- 記學習滲透測試之漏洞掃描簡述
- 網站漏洞修復服務商關於越權漏洞分析網站
- 網站漏洞滲透測試行業該如何去學習網站行業
- 網站漏洞滲透測試覆盤檢查結果分析網站
- 網站被攻擊滲透測試出漏洞怎麼辦網站
- 網站查詢漏洞滲透測試大體流程介紹網站
- 滲透測試服務 前期對客戶網站APP的資訊收集分享網站APP
- 網站滲透測試安全檢測方案網站
- 網站漏洞測試php程式碼修復詳情網站PHP
- 滲透測試服務之瀏覽器攻擊分析瀏覽器
- 滲透測試服務之伺服器攻擊手段伺服器
- 滲透測試之CSRF程式碼漏洞的檢測與加固方案