關於短信驗證碼在網站前段功能安全中,占比還是比較大了,安全上影響也比較大,短信
驗證碼安全包括有,用戶短信驗證碼繞過,短信炸彈攻擊,短信驗證碼被攻擊者暴力破解,驗證
碼被重複利用導致提權,等等的安全攻擊,大體上可以分為短信API接口安全、驗證碼設計的邏
輯功能安全等等。
網站的短信驗證碼,在網站的設計與建設中,是比較特殊的一個功能,用戶的註冊,以及相關的
高危操作都會用到短信驗證碼,短信驗證碼安全的部署與設計,牽扯到了整個網站的安全。SIN
E安全公司在對其客戶的網站安全測試中發現,客戶網站的短信驗證碼可以無限發送,每條短信
的成本大約在3分到5分錢之間,當被攻擊者利用發送到上萬條信息的時候,給你網站運營者帶
來的損失確實無法估量的,如果一直沒有修復那一年下來這個短信驗證碼帶來的損失都超過了營
業額,還有在對其某IDC公司做網站安全滲透的時候發現,該系統的短信發送被攻擊者惡意利用,
發送一些非法內容的短信到客戶的手機上,被運營商發現直接屏蔽了短信接口,第三方的短信通
道商業面臨著被運營商處罰或者關停。如下郵件所示:
高危操作都會用到短信驗證碼,短信驗證碼安全的部署與設計,牽扯到了整個網站的安全。SIN
E安全公司在對其客戶的網站安全測試中發現,客戶網站的短信驗證碼可以無限發送,每條短信
的成本大約在3分到5分錢之間,當被攻擊者利用發送到上萬條信息的時候,給你網站運營者帶
來的損失確實無法估量的,如果一直沒有修復那一年下來這個短信驗證碼帶來的損失都超過了營
業額,還有在對其某IDC公司做網站安全滲透的時候發現,該系統的短信發送被攻擊者惡意利用,
發送一些非法內容的短信到客戶的手機上,被運營商發現直接屏蔽了短信接口,第三方的短信通
道商業面臨著被運營商處罰或者關停。如下郵件所示:
hi 大家好,帶來一個不是太令人開心的消息,今天上午接到運營商的郵件告知,我們IDC系統當
中用到的短信通道被檢測到向外發送非法內容短信,導致被運營商直接關閉通道,並處罰,其他
短信通道也都面臨著被關停的風險。
中用到的短信通道被檢測到向外發送非法內容短信,導致被運營商直接關閉通道,並處罰,其他
短信通道也都面臨著被關停的風險。
從上面的郵件可以看出,短信驗證碼這一方面的安全不容忽視。
短信驗證碼安全還包括邏輯驗證碼漏洞
在對短信驗證碼設計的過程當中,短信炸彈分為 橫向短信炸彈,縱向短信炸彈,前端修改cookies
值進行發送,長度不足,暴力破解,APP純四位數字攻擊,驗證碼重複利用,短信驗證碼內容洩露
,URL、HTML body、http response。短信驗證碼邏輯驗證漏洞,本地驗證、本地cookies繞
過、驗證碼的表單惡意提交,前段JS驗證繞過,固定短信驗證碼,驗證短信碼不驗證用戶的
身份。
值進行發送,長度不足,暴力破解,APP純四位數字攻擊,驗證碼重複利用,短信驗證碼內容洩露
,URL、HTML body、http response。短信驗證碼邏輯驗證漏洞,本地驗證、本地cookies繞
過、驗證碼的表單惡意提交,前段JS驗證繞過,固定短信驗證碼,驗證短信碼不驗證用戶的
身份。
以上就是相關漏洞的產生以及利用方式,也希望總結出來的這些網站短信驗證碼安全,能給其他安
全從業者帶來啟發,在部署驗證碼安全上,盡可能的把安全做到最大化,保障網站的安全平穩運
行。
全從業者帶來啟發,在部署驗證碼安全上,盡可能的把安全做到最大化,保障網站的安全平穩運
行。
