我们SINE Security在网站和APP方面进行网站安全检测时发现了很多公司网站和业务平台。 APP中存在一些逻辑网站漏洞。一些简单的短信验证码可能会带来整个网站。很多经济损失，网站功能非常简单，如用户密码恢复，会有绕过安全问题的答案，或绕过手机号码，直接修改用户的账号密码。

在SMS炸弹和用户密码检索到的网站漏洞中，让我们与您分享如何使用以及如何防止漏洞。

当我们查看在客户网站上执行网站安全测试时发现的SMS爆炸漏洞，当客户反映注册网站成员时，我们将收到几条重复的验证码短信，甚至多次点击将导致收到很多验证码信息，然后我们对SINE安全进行了详细的安全测试，发现问题，确实有多次向注册会员发送短信，我们提交数据，GET，POST模式多重安全测试，当你找到发布数据后，您可以在smg值后添加任何参数，这可能会导致网站将验证码短信发送到用户的手机。您可以发送无数短信。如果它被攻击者使用，它将带来无法估计的损失。

对于此次检测到的SMS炸弹漏洞，首先分析代码。从程序员编写的代码中，不在用户登录过程代码中执行详细的安全过滤，因此可以通过输入用户名和密码来发送验证码。另一个是在程序员设计过程中测试的手机号码存储在数据库中，导致许多普通用户在测试时接收到SMS验证码。此漏洞的另一个原因是程序代码中设计的初始密码为123456，这会导致在重置密码时将密码写入数据库。攻击者可以使用库轻松猜出用户的密码。 。

那么该如何防范短信炸弹漏洞呢?

从网站安全性和网站安全部署水平的角度来看，它可以防止在SMS平台上无数次发送短信。现在，阿里云的短信平台可以防止多次向用户的手机发送短信。您每天只能获得5个SMS安全限制，另一个是从程序代码执行安全加固以判断注册成员。如果是IP，则只能发送一条短信。用户可以在单击验证码发送之前输入图形验证码。在发送文本消息之前的间隔是60秒。在整体网站安全测试中，我们必须提前告知客户，我们正在做什么，网站漏洞扫描，网站漏洞利用，数据库写入删除等重要操作，我们必须提前告知客户，提前网站数据整体安全备份，包括数据库备份，网站源代码备份。在渗透测试中，我们必须首先进行安全评估。整体安全检查不会影响和失去用户。尽可能不影响客户网站的访问和业务的正常运作。下一篇文章分享了用户密码恢复漏洞的使用和分析。

本文来源：http://www.sinesafe.com/article/20180820

« 上海网吧福利即将到来！《京东网络服务站》举办京东电器购买十一嘉年华 | 工信部可以对手机号码的归属地进行变更吗？ »