漏洞名稱:
短信攻擊、短信轟炸、短信DDOS攻擊
描述:
該攻擊是常見的一種攻擊,攻擊者通過網站頁面中所提供的發送短信驗證碼的功能處,通過對其發送數據包的獲取后,進行重放,如果服務器短信平台未做校驗的情況時,系統會一直去發送短信,這樣就造成了短信轟炸的漏洞。
檢測條件:
1.Web業務運行正常
2.Web頁面中具有發送短信驗證碼功能。
檢測方法:
- 手工找到有關網站注冊頁面,認證頁面,是否具有短信發送頁面,如果有,則進行下一步。
- 通過利用burp或者其它抓包截斷工具,抓取發送驗證碼的數據包,並且進行重放攻擊,查看手機是否在短時間內連續收到10條以上短信,如果收到大量短信,則說明存在該漏洞。
漏洞修復:
1.合理配置后台短信服務器的功能,對於同一手機號碼,發送次數不超過3-5次,並且可對發送的時間間隔做限制。
2.頁面前台代碼編寫時,加入禁止針對同一手機號進行的次數大於N次的發送,或者在頁面中加入驗證碼功能,並且做時間間隔發送限制。
其他補充說明:
在網站測試的過程中,常常在用戶注冊登錄時出現手機號/郵箱注冊,這里收集了較為流行的臨時接收短信的網站,可用於測試。具體如下:(摘自:https://www.sohu.com/a/322105042_120136504)
https://www.pdflibr.com/
http://www.z-sms.com/
https://www.receive-sms-online.info/
[隨機推送] https://yunduanxin.net/
[國內] http://www.smszk.com/
[國外] http://receive-sms-online.com/
[國外] https://smsnumbersonline.com/
[國外] https://www.freeonlinephone.org/
[國外] https://sms-online.co/receive-free-sms
與此同時,寫了個爬蟲整理了上面涉及到的phone list,可作為黑名單進行反作弊建設:
https://gist.github.com/fr4nk404/1d8317a5f66ebe0933b8fade897497ff
具體案例:
幾個繞過短信驗證碼限制的漏洞挖掘
淺談轟炸漏洞攻防思路