有些网站是用手机短信登录的,短信验证码可以绕过,开展别的操作。检验方法:一、请求发送一条短信,填写一个验证码,然后提交另一个操作请求,验证码的参数是空的,或者是删除的,测试检测是否可以忽略;二、使用000000、111111等特权验证码;三、同一SMS验证码能否多次使用。
例子:在获得短信验证码后,服务器应检查短信验证码的来源及有效性,使用一次后应立即失效。但我遇到的这件事就是用验证码登录,注销用户登录后发现用验证码再次登录仍然成功,也就是说短信验证有没有被删除。
危险分析:更改/重置密码、交易操作等功能通常需要SMS验证码,如果可以绕过验证码,攻击者就可以用它来开展危险的操作,如重新设置别人的密码或转移资金。
修复方案:1.如果存在特权验证码,则建议删除它;2.应用程序端应该严格检查验证码参数是否为空,并且是格式正确的;3、每次提交请求时,关键操作应发送新的SMS验证码,而不能继续使用旧的验证码。
SMS验证码可以暴力破解。漏洞说明:SMS验证码位数过短或有效期过长都会导致暴力破解。
检验方法:单击发送SMS验证码,输入任意验证码,提交请求,使用burpsuite截获请求,在intruder模块中将验证码参数设置为枚举变量,payload类型为numbers,暴力破解验证码。
此处短信验证码是可以暴力破解的,是因为没有设置短信验证码使用错误次数之后就会失效,所以可以暴力破解。
危险分析:更改/重新设置密码、交易操作等功能通常需要SMS验证码,如果验证码被暴力破解,攻击者就可以利用这个漏洞开展危险的操作,如重新设置别人的密码或转移资金。
修复办法:一、短信验证代码不少于6位;二、最多有效期为一分钟;三、验证码错误的次数超过上限时,应采取锁定帐户的策略。
一种常见的攻击,攻击者通过网站上提供的短信验证码功能发送短信,通过获取其发送的信息包后,再开展重放,如果服务器上的短信平台没有做校验,系统将继续不停地发送短信,从而造成短信爆炸的漏洞。检验方法:手动查找有关网站的注册页面,认证页面,是否有短信发送页面,如果有,开展下一步。通过使用burp或别的抓包截断工具,抓取发送了验证码的数据包,并开展重放攻击,检查手机是否在短时间内连续收到10条以上短信,如果收到大量短信,说明存在漏洞。
在截取包的同时点击获取验证码。用burpsuite重放数据。黑客利用软件burpsuite的intruder功能,通过填写别人的手机号码,重复提交发送短信的请求包,从而在短时间内将大量垃圾短信发送到别人的手机。修复方案:合理配置后台短信服务器的功能,对于同一手机号码,发送次数不得超过3-5次,且发送间隔可以有一定限制。当页面前台代码编写后,添加到同一手机号上的发送次数不能超过N次,或添加到页面的验证码功能,并限制发送间隔。
还没有评论,来说两句吧...