Sine安全-网络安全背后的巨人,提供服务器安全_服务器维护_网站安全解决方案

网站安全之短信验证码功能安全总结



          关于短信验证码在网站前段功能安全中,占比还是比较大了,安全上影响也比较大,短信

验证码安全包括有,用户短信验证码绕过,短信炸弹攻击,短信验证码
被攻击者暴力破解,验证

码被重复利用导致提权,等等的安全攻击,大体上可以分
为短信API接口安全、验证码设计的逻

辑功能安全等等。



 
 
 
网站的短信验证码,在网站的设计与建设中,是比较特殊的一个功能,用户的注册,以及相关的

高危操作都会用到短信验证码,短信验证码安全的部署与设计,牵扯
到了整个网站的安全。SIN

E安全公司在对其客户的网站安全测试中发现,客户网站的短信验证码可以无限
发送,每条短信

的成本大约在3分到5分钱之间,当被攻击者利用发送到上万条信息
的时候,给你网站运营者带

来的损失确实无法估量的,如果一直没有修复那一年下
来这个短信验证码带来的损失都超过了营

业额,还有在对其某IDC公司做网站安全
渗透的时候发现,该系统的短信发送被攻击者恶意利用,

发送一些非法内容的短信
到客户的手机上,被运营商发现直接屏蔽了短信接口,第三方的短信通

道商业面临
着被运营商处罚或者关停。如下邮件所示:
 
 
hi 大家好,带来一个不是太令人开心的消息,今天上午接到运营商的邮件告知,我们IDC系统当

中用到的短信通道被检测到向外发送非法内容短信,导致被运营商
直接关闭通道,并处罚,其他

短信通道也都面临着被关停的风险。
 
 
从上面的邮件可以看出,短信验证码这一方面的安全不容忽视。
 
短信验证码安全还包括逻辑验证码漏洞
 
在对短信验证码设计的过程当中,短信炸弹分为 横向短信炸弹,纵向短信炸弹,前端修改cookies

值进行发送,长度不足,暴力破解,APP纯四位数字攻击,验证码
重复利用,短信验证码内容泄露

,URL、HTML body、http response。短信验证码
逻辑验证漏洞,本地验证、本地cookies绕

过、验证码的表单恶意提交,前段JS验
证绕过,固定短信验证码,验证短信码不验证用户的

身份。

 
 
以上就是相关漏洞的产生以及利用方式,也希望总结出来的这些网站短信验证码安全,能给其他安

全从业者带来启发,在部署验证码安全上,尽可能的把安全做到最大
化,保障网站的安全平稳运

行。
分享:

相关推荐