亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        基于“驗證碼前端可控”漏洞談網(wǎng)絡安全問題防范

        2021-08-27 06:54:32孫海波馮偉張鳳雨劉志斌
        中國新通信 2021年12期

        孫海波 馮偉 張鳳雨 劉志斌

        【摘要】? ? 本文就工作中發(fā)現(xiàn)的一起驗證碼前端可控漏洞,從事件經(jīng)過、驗證過程、防護建議幾個方面,對該漏洞進行介紹。使讀者能夠?qū)︱炞C碼前端可控漏洞有一個比較清晰的認識,防止攻擊者利用該漏洞獲取用戶帳號信息,登錄網(wǎng)站,造成不可預想的損失。

        【關鍵詞】? ? 網(wǎng)絡安全漏洞? ? 驗證碼? ? Burp Suite? ? cookie

        隨著互聯(lián)網(wǎng)技術的快速發(fā)展,犯罪分子利用網(wǎng)絡手段犯罪的行為已不鮮見。2018年8月14日,深圳龍崗警方宣布打掉一個新型盜刷銀行卡犯罪團伙,抓獲10名嫌疑人,查繳偽基站等電子設備6套,帶破同類案件50余宗,涉案金額逾百萬元。據(jù)專家分析,嫌疑人通過“GSM劫持+短信嗅探”技術截獲受害人短信驗證碼,從而完成盜刷等操作[1]。

        手機短信驗證碼在驗證用戶身份時發(fā)揮的作用越來越大。注冊網(wǎng)站新賬號,需要短信驗證碼;通過手機銀行轉(zhuǎn)帳匯款,需要短信驗證碼;忘記密碼又想登錄網(wǎng)站,需要短信驗證碼等等。

        網(wǎng)絡安全漏洞不容小覷。驗證碼前端可控屬于高危風險網(wǎng)絡安全漏洞,攻擊者通過已注冊該網(wǎng)站的手機號,再利用驗證碼前端可控漏洞獲得手機驗證碼,以該賬號進行網(wǎng)站登陸,從而獲取已登錄手機賬戶的敏感信息,甚至可以拿到整個服務器中的敏感數(shù)據(jù)。這樣不僅僅對網(wǎng)站用戶的數(shù)據(jù)安全造成極大威脅,對整個網(wǎng)站的數(shù)據(jù)庫都造成嚴重威脅,后果不堪設想。

        一、事件經(jīng)過

        筆者一直從事對網(wǎng)站的網(wǎng)絡安全漏洞掃描工作,于2021年3月發(fā)現(xiàn)一起比較典型的驗證碼前端可控漏洞,供讀者參考。漏洞詳細情況如下:漏洞名稱為驗證碼前端可控漏洞;漏洞數(shù)量1個;漏洞等級為高危;漏洞URL地址為 https://www.---.com/register/(“---”代表網(wǎng)站部分URL地址)。

        驗證碼前端可控漏洞,就是當網(wǎng)站在驗證用戶手機號碼時,會有一個給手機號發(fā)送驗證碼的指令,該漏洞可以不經(jīng)過手機直接獲取該驗證碼。

        二、驗證過程

        我們通過Web漏洞掃描工具,發(fā)現(xiàn)該網(wǎng)站下面的一個URL地址,存在驗證碼前端可控漏洞:https://www.---.com/register/。下面我們對這個URL地址,進行漏洞驗證。

        1.訪問主頁。我們首先打開網(wǎng)站主頁:https://www.---.com/,并在主頁中點開“注冊/登錄”頁面,如圖1所示。

        2.創(chuàng)建帳號。在圖1的“注冊/登錄”頁面中點擊“創(chuàng)建您的帳號”選項,進入創(chuàng)建帳號界面,如圖2所示。

        3.抓取驗證碼請求包。在圖2中的創(chuàng)建帳號頁面中輸入需要驗證的手機號,點擊“獲取驗證碼”按鈕。

        此時,我們使用Burp Suite工具抓取該請求的請求包數(shù)據(jù)。Burp Suite工具是一個用Java語言開發(fā)的高集成化滲透測試工具,集合了多種滲透測試組件,方便我們完成對web應用的滲透測試,前提是在Java環(huán)境中運行。在本次驗證過程中,我們需要用到的是Burp Suite工具中的Repeater模塊。在Repeater模塊中,我們可以手動修改請求參數(shù),并重新發(fā)送請求數(shù)據(jù),以幫助我們分析攔截到的請求信息。

        通過Burp Suite工具抓取驗證碼請求包,我們可以看到在這個請求包中包含被驗證的手機號,以及send_code參數(shù),即驗證碼為“4307”,如圖3所示。

        點擊“send”按鈕,發(fā)送該請求,手機會收到一個驗證碼“4307”,如圖4所示,測試手機收到和在請求包中的驗證碼一樣。

        到這一步,就已經(jīng)存在問題了。即發(fā)送給手機的驗證碼,我們可以利用Burp Suite工具抓取到。假如我們知道某一個已經(jīng)注冊該網(wǎng)站的手機號,就可以在不通過手機接收驗證碼的情況下獲取到驗證碼,進行登陸,進而獲取該用戶的信息,可能會造成嚴重的信息泄漏。

        4.篡改驗證碼。我們也可以隨時對該網(wǎng)站的驗證碼進行篡改,在Repeater請求包中,比如我們將之前的驗證碼“4307”修改為“1111”,如圖5所示。然后點擊“send”按鈕發(fā)送該請求,手機同樣可以接收到驗證碼短信,如圖6所示,接收到的驗證碼已經(jīng)變成了“1111”。

        通過上面的驗證過程,我們可以得出結論,這個網(wǎng)站存在驗證碼前端可控的網(wǎng)絡安全漏洞,這種驗證碼顯示在前端的方式是非常危險的。

        三、防護建議

        杜絕驗證碼繞過這類漏洞,最主要的原則就是一定要做好邏輯規(guī)劃,確認邏輯過程沒有可被利用的地方,否則一旦出現(xiàn)這種邏輯類的先天缺陷,所有后續(xù)的限制防護只是徒勞。

        這次我們發(fā)現(xiàn)的驗證碼前端可控漏洞,只是驗證碼繞過類漏洞的一種,其它種類的驗證碼繞過漏洞還有許多,比如有的網(wǎng)站驗證碼會在cookie信息中傳輸,有的驗證碼會在響應包中返回,這些問題都是在做短信驗證邏輯規(guī)則時沒有考慮完善所導致的。

        存在了驗證碼繞過漏洞,網(wǎng)站就有可能受到各種類型的攻擊,如短信炸彈攻擊。因為網(wǎng)站未對短信驗證碼數(shù)量以及間隔時間進行限制,攻擊者通過滲透工具將短信驗證碼無限制發(fā)送,造成網(wǎng)站不可訪問。我們要對驗證碼繞過漏洞重視起來,避免由于一個點的疏忽導致整個網(wǎng)站系統(tǒng)的全面崩潰,主要從以下幾個方面進行防護。

        1.修改前端驗證碼發(fā)送機制。驗證碼不能在客戶端進行驗證,需要在網(wǎng)站服務端進行驗證。

        2.限制短信發(fā)送時間間隔。比如限制短信在指定時間的發(fā)送數(shù)量,一分鐘只允許發(fā)送一次,一天總共發(fā)送多少次,防止網(wǎng)站被大量請求訪問。

        3.對客戶訪問ip地址進行限制。如果某一用戶ip對短信接口短時間內(nèi)進行大量訪問,則對該用戶ip進行封禁,或間隔24小時后再允許訪問等機制。

        4.用戶登錄網(wǎng)站時,添加圖片驗證碼,防止用戶帳號被爆破。

        四、結束語

        這次發(fā)現(xiàn)的網(wǎng)站驗證碼前端可控漏洞,通過漏洞驗證,我們不需要手機就可以獲得手機驗證碼,進而登錄網(wǎng)站,獲取用戶及網(wǎng)站信息。如果被惡意攻擊者利用該漏洞,獲取用戶數(shù)據(jù),后果不堪設想。

        黨的十八大以來,以習近平同志為核心的黨中央重視互聯(lián)網(wǎng)、發(fā)展互聯(lián)網(wǎng)、治理互聯(lián)網(wǎng),統(tǒng)籌協(xié)調(diào)涉及政治、經(jīng)濟、文化、社會、軍事等領域信息化和網(wǎng)絡安全重大問題,作出一系列重大決策、提出一系列重大舉措,推動網(wǎng)信事業(yè)取得歷史性成就[2] 。網(wǎng)絡安全無小事,必須做到防患于未然。

        參? 考? 文? 獻

        [1] 人民網(wǎng). 深圳警方打掉一個新型盜刷銀行卡犯罪團伙. 2018-08-16 . http://m.people.cn/n4/2018/0816/c3522-11460728.html;

        [2] 中國習觀.網(wǎng)絡安全的重要性 習近平這些話擲地有聲. 2019-09-16. http://guoqing.china.com.cn/2019zgxg/2019- 09/16/content_75211149.html?f=pad&a=true。

        久久精品国产亚洲av蜜桃av| av无码天堂一区二区三区 | 国内自拍速发福利免费在线观看| 无码人妻一区二区三区免费视频| 久久av无码精品人妻出轨| 亚洲va在线va天堂va四虎| 国产白浆一区二区三区佳柔| 久久久99精品成人片| 欧美日韩国产成人高清视频| 久久久久久中文字幕有精品| 国产一区二区在线观看av| 亚洲一区在线观看中文字幕| 久久精品国产69国产精品亚洲| 少妇无码av无码去区钱| 日韩伦理av一区二区三区| 亚洲色一区二区三区四区| 欧美jizzhd精品欧美| 久久久久久久尹人综合网亚洲| 一本色道久久综合亚洲精品不 | 人妻丰满熟妇AV无码片| 久久精品国产亚洲不卡| 精品无码久久久久久久久| www国产亚洲精品久久网站| 国产丝袜免费精品一区二区| 午夜视频一区二区三区四区| 国产精品成人网站| 国产成人国产在线观看入口| 国产大片在线观看三级| 白白色白白色视频发布| 欧妇女乱妇女乱视频| 国产一区二区三区国产精品| 美女与黑人巨大进入免费观看| 男女啪动最猛动态图| 亚洲综合性色一区| 丁香婷婷激情俺也去俺来也| 日韩大片高清播放器大全| 国产亚洲av手机在线观看| 国产不卡在线免费视频| 国产变态av一区二区三区调教| 白天躁晚上躁麻豆视频| 久久亚洲第一视频黄色|