• 提供南水北调七成中线水 陕西一江清水送北京 2019-10-10
  • 你的声音,说一句话就能被克隆 2019-10-08
  • 她主动借腹给我生儿子,中途又移情别恋 有故事的人 2019-10-07
  • 候选企业:安徽古井集团 2019-10-06
  • 智能手机冲击大 数码相机不服输 2019-10-06
  • 工信部:我国4G用户达10.6亿户 宽带提速效果显著 2019-10-01
  • 一条塔里木河 串起南疆各色景致与无限风光 2019-10-01
  • 消防车进商场——“小小消防员”的消防安全乐体验 2019-09-27
  • 《游侠索罗》:票房失意之作的连锁反应 2019-09-27
  • 万物互联开启智慧新图景 下一代互联网未来已来 2019-09-27
  • 朔州市人大常委会任免名单 2019-09-27
  • 置业指南:盘点沙坪坝在售楼盘 2019-09-26
  • 加快南昌航空货运发展推进会举行 2019-09-26
  • 李思思元元月亮姐姐 盘点央视主持人与子女温馨合影 2019-09-25
  • 欧阳绍修:孜孜以求为祖国研制“争气机” 2019-09-20
  • 价格不是我们的优势,品质永远是我们的追求!
    当前位置:北京11选五和值走势图行业快讯 > 短信验证码安全常见逻辑漏洞
    短信验证码安全常见逻辑漏洞
    来源:北京11选五和值走势图  时间:2018-01-08 21:54

    北京11选五和值走势图 www.tqjw.net     短信验证码常被用于网站用户注册、账户安全登录以及忘记密码、确认下单等应用场景,特别是一些涉及到用户个人敏感行为时候,为了确认操作是用户本人执行的通?;崾褂?a href="//www.tqjw.net/" target="_self" title="短信验证码">短信验证码进行二次认证。

        在实际应用中,有很多产品的短信验证码接口存在诸多逻辑漏洞,针对手机短信验证码可能存在的问题,这里总结常见的逻辑漏洞如下,供大家参考:

        1、短信验证码接口没有设置下发频次

        ①无限制,任意下发;

        ②有一定时间间隔,无限下发;

        短信验证码接口没设频次上限导致短信轰炸。这种情况往往出现在一些小站或者子站,这几年很少看到通过GET请求发送短信验证码了,基本都是使用POST请求,使用抓包软件可以重放请求对于后端没有做限制的网站就可以达到短信轰炸的效果。

        危害:对用户来说个人生活受到骚扰,对企业来说造成一定的负面影响,很多小公司因为短信验证码接口被大量调用出现运营问题,对于公司没有安全工程师的情况下,一般都是业务方发现了数据异常向上汇报,最后和开发一起反溯才会找到这个问题,那么在这段时间中对企业所损失的钱也是无法挽回的。

        预防:这里主要是针对两种攻击场景来进行防御,第一种是对单用户的短信轰炸,即重放发送请求且phonenum为一个值。第二种是对多用户发送短信骚扰的场景,即将phonenum参数设置为字典,重放短信验证码接口。

        ①设置发送间隔,即单一用户发送请求后,与下次发送请求时间需要间隔60秒。

        ②设置单用户发送上限,即设置每个用户单位时间内发送短信数的上限,如果超过阈值就不允许今天再次调用短信接口(阈值根据业务情况设置)。

        ③设置单IP发送上限,这种情况是预防第二种攻击场景的,由于IP的特殊性可能存在所处IP是大出口,一旦误杀后果会很验证,所以这个限制根据自身情况酌情考虑,对于有风控的团队来说,当发现发送IP存在异??梢远愿肐P增加二次认证来防止机器操作,也可以降低误杀情况。

        2、无效验证

        有验证码???,但验证??橛胍滴窆δ苊挥泄亓?,此为无效验证,一般在新上线的系统中比较常见。

        ①获取短信验证码后,随意输入验证码,直接输入两次密码,可成功更改用户密码,没有对短信验证码进行验证,可能导致CSRF等问题。

    无效验证

        ②任意用户注册

        第一步,利用自己的手机号接收验证码进行验证,下一步跳转到一个设定密码的页面

        第二步,抓包,篡改手机号,使用任意手机号进行注册

        问题剖析:业务一致性存在安全隐患,身份验证与密码修改过程分开,验证无效。

        无效验证2

        3、客户端验证绕过

        客户端验证是不安全的,可能导致任意账号注册、登录及重置任意用户密码等一系列问题。

        ①直接返回明文验证码

        ②返回密文验证码

        ③拦截替换返回包

        4、验证码与手机号未绑定

        一般来说短信验证码仅能使用一次,验证码和手机号未绑定,验证码一段时期内有效,那么就可能出现如下情况:

        1、A手机的验证码,B可以拿来用;

        2、A手机在一定时间间隔内接到两个验证码,都可以用。

        案例一:任意用户密码重置

        a、使用自己手机号收取验证码

        b、自己的验证码和对方的手机号填上,下一步城管设置新密码

        解决方案:

        1.在服务器进行有效验证,手机号和验证码在服务器进行唯一性绑定验证。

        2.在服务端限制验证码发送周期,设置时效,限制次数。

        接收验证码与手机号未绑定

        5、验证码爆破

        短信验证码一般由4位或6位数字组成,若服务端未对验证时间、次数进行限制,则存在被爆破的可能。 推荐阅读:60 秒短信验证背后的危险

  • 提供南水北调七成中线水 陕西一江清水送北京 2019-10-10
  • 你的声音,说一句话就能被克隆 2019-10-08
  • 她主动借腹给我生儿子,中途又移情别恋 有故事的人 2019-10-07
  • 候选企业:安徽古井集团 2019-10-06
  • 智能手机冲击大 数码相机不服输 2019-10-06
  • 工信部:我国4G用户达10.6亿户 宽带提速效果显著 2019-10-01
  • 一条塔里木河 串起南疆各色景致与无限风光 2019-10-01
  • 消防车进商场——“小小消防员”的消防安全乐体验 2019-09-27
  • 《游侠索罗》:票房失意之作的连锁反应 2019-09-27
  • 万物互联开启智慧新图景 下一代互联网未来已来 2019-09-27
  • 朔州市人大常委会任免名单 2019-09-27
  • 置业指南:盘点沙坪坝在售楼盘 2019-09-26
  • 加快南昌航空货运发展推进会举行 2019-09-26
  • 李思思元元月亮姐姐 盘点央视主持人与子女温馨合影 2019-09-25
  • 欧阳绍修:孜孜以求为祖国研制“争气机” 2019-09-20
  • 贵州快3开奖结果走试图 甘肃11选5任三技巧稳赚 31选7中奖概率 一肖两码中特货到付款 福利彩票开奖直播 吉林快三合吉林快三走势图带连线 广西快乐10分复试玩法 彩红时时彩计划软件 超级大乐透中奖说明 22选5开奖直播河南 万彩彩票 捕鱼来了贵族等级价格 竞彩足球哪个网站好 9亿彩票 体彩22选5选号决