关于短信验证码在网站前段功能安全中,占比还是比较大了,安全上影响也比较大,短信
验证码安全包括有,用户短信验证码绕过,短信炸弹攻击,短信验证码被攻击者暴力破解,验证
码被重复利用导致提权,等等的安全攻击,大体上可以分为短信API接口安全、验证码设计的逻
辑功能安全等等。
网站的短信验证码,在网站的设计与建设中,是比较特殊的一个功能,用户的注册,以及相关的
高危操作都会用到短信验证码,短信验证码安全的部署与设计,牵扯到了整个网站的安全。SIN
E安全公司在对其客户的网站安全测试中发现,客户网站的短信验证码可以无限发送,每条短信
的成本大约在3分到5分钱之间,当被攻击者利用发送到上万条信息的时候,给你网站运营者带
来的损失确实无法估量的,如果一直没有修复那一年下来这个短信验证码带来的损失都超过了营
业额,还有在对其某IDC公司做网站安全渗透的时候发现,该系统的短信发送被攻击者恶意利用,
发送一些非法内容的短信到客户的手机上,被运营商发现直接屏蔽了短信接口,第三方的短信通
道商业面临着被运营商处罚或者关停。如下邮件所示:
高危操作都会用到短信验证码,短信验证码安全的部署与设计,牵扯到了整个网站的安全。SIN
E安全公司在对其客户的网站安全测试中发现,客户网站的短信验证码可以无限发送,每条短信
的成本大约在3分到5分钱之间,当被攻击者利用发送到上万条信息的时候,给你网站运营者带
来的损失确实无法估量的,如果一直没有修复那一年下来这个短信验证码带来的损失都超过了营
业额,还有在对其某IDC公司做网站安全渗透的时候发现,该系统的短信发送被攻击者恶意利用,
发送一些非法内容的短信到客户的手机上,被运营商发现直接屏蔽了短信接口,第三方的短信通
道商业面临着被运营商处罚或者关停。如下邮件所示:
hi 大家好,带来一个不是太令人开心的消息,今天上午接到运营商的邮件告知,我们IDC系统当
中用到的短信通道被检测到向外发送非法内容短信,导致被运营商直接关闭通道,并处罚,其他
短信通道也都面临着被关停的风险。
中用到的短信通道被检测到向外发送非法内容短信,导致被运营商直接关闭通道,并处罚,其他
短信通道也都面临着被关停的风险。
从上面的邮件可以看出,短信验证码这一方面的安全不容忽视。
短信验证码安全还包括逻辑验证码漏洞
在对短信验证码设计的过程当中,短信炸弹分为 横向短信炸弹,纵向短信炸弹,前端修改cookies
值进行发送,长度不足,暴力破解,APP纯四位数字攻击,验证码重复利用,短信验证码内容泄露
,URL、HTML body、http response。短信验证码逻辑验证漏洞,本地验证、本地cookies绕
过、验证码的表单恶意提交,前段JS验证绕过,固定短信验证码,验证短信码不验证用户的
身份。
值进行发送,长度不足,暴力破解,APP纯四位数字攻击,验证码重复利用,短信验证码内容泄露
,URL、HTML body、http response。短信验证码逻辑验证漏洞,本地验证、本地cookies绕
过、验证码的表单恶意提交,前段JS验证绕过,固定短信验证码,验证短信码不验证用户的
身份。
以上就是相关漏洞的产生以及利用方式,也希望总结出来的这些网站短信验证码安全,能给其他安
全从业者带来启发,在部署验证码安全上,尽可能的把安全做到最大化,保障网站的安全平稳运
行。
全从业者带来启发,在部署验证码安全上,尽可能的把安全做到最大化,保障网站的安全平稳运
行。
