淺談“短信攻擊”


漏洞名稱:

 短信攻擊、短信轟炸、短信DDOS攻擊

描述:

該攻擊是常見的一種攻擊,攻擊者通過網站頁面中所提供的發送短信驗證碼的功能處,通過對其發送數據包的獲取后,進行重放,如果服務器短信平台未做校驗的情況時,系統會一直去發送短信,這樣就造成了短信轟炸的漏洞。

檢測條件:

1.Web業務運行正常

2.Web頁面中具有發送短信驗證碼功能。

檢測方法:

  1. 手工找到有關網站注冊頁面,認證頁面,是否具有短信發送頁面,如果有,則進行下一步。
  2. 通過利用burp或者其它抓包截斷工具,抓取發送驗證碼的數據包,並且進行重放攻擊,查看手機是否在短時間內連續收到10條以上短信,如果收到大量短信,則說明存在該漏洞。

漏洞修復:

1.合理配置后台短信服務器的功能,對於同一手機號碼,發送次數不超過3-5次,並且可對發送的時間間隔做限制。

2.頁面前台代碼編寫時,加入禁止針對同一手機號進行的次數大於N次的發送,或者在頁面中加入驗證碼功能,並且做時間間隔發送限制。

其他補充說明:

在網站測試的過程中,常常在用戶注冊登錄時出現手機號/郵箱注冊,這里收集了較為流行的臨時接收短信的網站,可用於測試。具體如下:(摘自:https://www.sohu.com/a/322105042_120136504

  1. https://www.pdflibr.com/

  2. http://www.z-sms.com/

  3. https://www.receive-sms-online.info/

  4. [隨機推送] https://yunduanxin.net/

  5. [國內] http://www.smszk.com/

  6. [國外] http://receive-sms-online.com/

  7. [國外] https://smsnumbersonline.com/

  8. [國外] https://www.freeonlinephone.org/

  9. [國外] https://sms-online.co/receive-free-sms

與此同時,寫了個爬蟲整理了上面涉及到的phone list,可作為黑名單進行反作弊建設:

https://gist.github.com/fr4nk404/1d8317a5f66ebe0933b8fade897497ff

具體案例:

幾個繞過短信驗證碼限制的漏洞挖掘

淺談轟炸漏洞攻防思路 


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM