• 永不沉没的泰坦尼克号工程开工仪式举行(一) 2019-08-19
  • 今年回南天为何掉线了?这其实并不奇怪 2019-08-19
  • 政能亮政府服务,当好“店小二”而非“二大爷” 2019-08-16
  • 女性之声——全国妇联 2019-08-16
  • 人傻有人爱,人聪明有人恨,人愚笨有人笑,人痴有人关心,不是每个人的命运都一样的 2019-08-11
  • 人民的力量——一份大报,与一个大党、一个大国的故事 2019-08-05
  • 中华人民共和国建筑法 2019-08-05
  • 转方式调结构显现阶段性成果(读数·发现经济运行的轨迹) 2019-08-02
  • 一语惊坛(6月8日):友谊勋章是给国际友人的最高荣誉。 2019-08-02
  • 《红海行动》出征中美电影节 2019-07-28
  • 发挥自身优势 奋力走在前列——习近平总书记在山东考察回访记 2019-07-28
  • 民生时评:上海支付宝回收垃圾并不现实(原创首发) 2019-07-28
  • 俺发现你还真是踩云的人。找不到谱。 2019-07-28
  • 12306网站用户信息外泄?铁总深夜“辟谣” 2019-07-25
  • 端午节期间 拉萨至日喀则增开列车 2019-07-24
  • 价格不是我们的优势,品质永远是我们的追求!
    当前位置:北京11选五和值走势图行业快讯 > 短信验证码安全常见逻辑漏洞
    短信验证码安全常见逻辑漏洞
    来源:北京11选五和值走势图  时间:2018-01-08 21:54

    北京11选五和值走势图 www.tqjw.net     短信验证码常被用于网站用户注册、账户安全登录以及忘记密码、确认下单等应用场景,特别是一些涉及到用户个人敏感行为时候,为了确认操作是用户本人执行的通?;崾褂?a href="//www.tqjw.net/" target="_self" title="短信验证码">短信验证码进行二次认证。

        在实际应用中,有很多产品的短信验证码接口存在诸多逻辑漏洞,针对手机短信验证码可能存在的问题,这里总结常见的逻辑漏洞如下,供大家参考:

        1、短信验证码接口没有设置下发频次

        ①无限制,任意下发;

        ②有一定时间间隔,无限下发;

        短信验证码接口没设频次上限导致短信轰炸。这种情况往往出现在一些小站或者子站,这几年很少看到通过GET请求发送短信验证码了,基本都是使用POST请求,使用抓包软件可以重放请求对于后端没有做限制的网站就可以达到短信轰炸的效果。

        危害:对用户来说个人生活受到骚扰,对企业来说造成一定的负面影响,很多小公司因为短信验证码接口被大量调用出现运营问题,对于公司没有安全工程师的情况下,一般都是业务方发现了数据异常向上汇报,最后和开发一起反溯才会找到这个问题,那么在这段时间中对企业所损失的钱也是无法挽回的。

        预防:这里主要是针对两种攻击场景来进行防御,第一种是对单用户的短信轰炸,即重放发送请求且phonenum为一个值。第二种是对多用户发送短信骚扰的场景,即将phonenum参数设置为字典,重放短信验证码接口。

        ①设置发送间隔,即单一用户发送请求后,与下次发送请求时间需要间隔60秒。

        ②设置单用户发送上限,即设置每个用户单位时间内发送短信数的上限,如果超过阈值就不允许今天再次调用短信接口(阈值根据业务情况设置)。

        ③设置单IP发送上限,这种情况是预防第二种攻击场景的,由于IP的特殊性可能存在所处IP是大出口,一旦误杀后果会很验证,所以这个限制根据自身情况酌情考虑,对于有风控的团队来说,当发现发送IP存在异??梢远愿肐P增加二次认证来防止机器操作,也可以降低误杀情况。

        2、无效验证

        有验证码???,但验证??橛胍滴窆δ苊挥泄亓?,此为无效验证,一般在新上线的系统中比较常见。

        ①获取短信验证码后,随意输入验证码,直接输入两次密码,可成功更改用户密码,没有对短信验证码进行验证,可能导致CSRF等问题。

    无效验证

        ②任意用户注册

        第一步,利用自己的手机号接收验证码进行验证,下一步跳转到一个设定密码的页面

        第二步,抓包,篡改手机号,使用任意手机号进行注册

        问题剖析:业务一致性存在安全隐患,身份验证与密码修改过程分开,验证无效。

        无效验证2

        3、客户端验证绕过

        客户端验证是不安全的,可能导致任意账号注册、登录及重置任意用户密码等一系列问题。

        ①直接返回明文验证码

        ②返回密文验证码

        ③拦截替换返回包

        4、验证码与手机号未绑定

        一般来说短信验证码仅能使用一次,验证码和手机号未绑定,验证码一段时期内有效,那么就可能出现如下情况:

        1、A手机的验证码,B可以拿来用;

        2、A手机在一定时间间隔内接到两个验证码,都可以用。

        案例一:任意用户密码重置

        a、使用自己手机号收取验证码

        b、自己的验证码和对方的手机号填上,下一步城管设置新密码

        解决方案:

        1.在服务器进行有效验证,手机号和验证码在服务器进行唯一性绑定验证。

        2.在服务端限制验证码发送周期,设置时效,限制次数。

        接收验证码与手机号未绑定

        5、验证码爆破

        短信验证码一般由4位或6位数字组成,若服务端未对验证时间、次数进行限制,则存在被爆破的可能。 推荐阅读:60 秒短信验证背后的危险

  • 永不沉没的泰坦尼克号工程开工仪式举行(一) 2019-08-19
  • 今年回南天为何掉线了?这其实并不奇怪 2019-08-19
  • 政能亮政府服务,当好“店小二”而非“二大爷” 2019-08-16
  • 女性之声——全国妇联 2019-08-16
  • 人傻有人爱,人聪明有人恨,人愚笨有人笑,人痴有人关心,不是每个人的命运都一样的 2019-08-11
  • 人民的力量——一份大报,与一个大党、一个大国的故事 2019-08-05
  • 中华人民共和国建筑法 2019-08-05
  • 转方式调结构显现阶段性成果(读数·发现经济运行的轨迹) 2019-08-02
  • 一语惊坛(6月8日):友谊勋章是给国际友人的最高荣誉。 2019-08-02
  • 《红海行动》出征中美电影节 2019-07-28
  • 发挥自身优势 奋力走在前列——习近平总书记在山东考察回访记 2019-07-28
  • 民生时评:上海支付宝回收垃圾并不现实(原创首发) 2019-07-28
  • 俺发现你还真是踩云的人。找不到谱。 2019-07-28
  • 12306网站用户信息外泄?铁总深夜“辟谣” 2019-07-25
  • 端午节期间 拉萨至日喀则增开列车 2019-07-24
  • 广东时时彩开奖视频 今日青海11选5开奖 后三杀2个条件650注 欢乐升级拖拉机安卓版下载 福彩排列五走势图 一肖中特彩图 31选7复式投注计算器 北京28开奖近500期 必胜国际娱乐城备用网 31选7走势图 今天试机号是多少 p3开机号近100期 吉林快三倍投方案 黑龙江快乐十分助手 围棋棋盘