孫海波 馮偉 張鳳雨 劉志斌

【摘要】? ? 本文就工作中發(fā)現(xiàn)的一起驗證碼前端可控漏洞，從事件經(jīng)過、驗證過程、防護建議幾個方面，對該漏洞進行介紹。使讀者能夠?qū)︱炞C碼前端可控漏洞有一個比較清晰的認識，防止攻擊者利用該漏洞獲取用戶帳號信息，登錄網(wǎng)站，造成不可預想的損失。

【關鍵詞】? ? 網(wǎng)絡安全漏洞? ? 驗證碼? ? Burp Suite? ? cookie

隨著互聯(lián)網(wǎng)技術的快速發(fā)展，犯罪分子利用網(wǎng)絡手段犯罪的行為已不鮮見。2018年8月14日，深圳龍崗警方宣布打掉一個新型盜刷銀行卡犯罪團伙，抓獲10名嫌疑人，查繳偽基站等電子設備6套，帶破同類案件50余宗，涉案金額逾百萬元。據(jù)專家分析，嫌疑人通過“GSM劫持+短信嗅探”技術截獲受害人短信驗證碼，從而完成盜刷等操作[1]。

手機短信驗證碼在驗證用戶身份時發(fā)揮的作用越來越大。注冊網(wǎng)站新賬號，需要短信驗證碼;通過手機銀行轉(zhuǎn)帳匯款，需要短信驗證碼;忘記密碼又想登錄網(wǎng)站，需要短信驗證碼等等。

網(wǎng)絡安全漏洞不容小覷。驗證碼前端可控屬于高危風險網(wǎng)絡安全漏洞，攻擊者通過已注冊該網(wǎng)站的手機號，再利用驗證碼前端可控漏洞獲得手機驗證碼，以該賬號進行網(wǎng)站登陸，從而獲取已登錄手機賬戶的敏感信息，甚至可以拿到整個服務器中的敏感數(shù)據(jù)。這樣不僅僅對網(wǎng)站用戶的數(shù)據(jù)安全造成極大威脅，對整個網(wǎng)站的數(shù)據(jù)庫都造成嚴重威脅，后果不堪設想。

一、事件經(jīng)過

筆者一直從事對網(wǎng)站的網(wǎng)絡安全漏洞掃描工作，于2021年3月發(fā)現(xiàn)一起比較典型的驗證碼前端可控漏洞，供讀者參考。漏洞詳細情況如下：漏洞名稱為驗證碼前端可控漏洞;漏洞數(shù)量1個;漏洞等級為高危;漏洞URL地址為 https：//www.---.com/register/（“---”代表網(wǎng)站部分URL地址）。

驗證碼前端可控漏洞，就是當網(wǎng)站在驗證用戶手機號碼時，會有一個給手機號發(fā)送驗證碼的指令，該漏洞可以不經(jīng)過手機直接獲取該驗證碼。

二、驗證過程

我們通過Web漏洞掃描工具，發(fā)現(xiàn)該網(wǎng)站下面的一個URL地址，存在驗證碼前端可控漏洞：https：//www.---.com/register/。下面我們對這個URL地址，進行漏洞驗證。

1.訪問主頁。我們首先打開網(wǎng)站主頁：https：//www.---.com/，并在主頁中點開“注冊/登錄”頁面，如圖1所示。

2.創(chuàng)建帳號。在圖1的“注冊/登錄”頁面中點擊“創(chuàng)建您的帳號”選項，進入創(chuàng)建帳號界面，如圖2所示。

3.抓取驗證碼請求包。在圖2中的創(chuàng)建帳號頁面中輸入需要驗證的手機號，點擊“獲取驗證碼”按鈕。

此時，我們使用Burp Suite工具抓取該請求的請求包數(shù)據(jù)。Burp Suite工具是一個用Java語言開發(fā)的高集成化滲透測試工具，集合了多種滲透測試組件，方便我們完成對web應用的滲透測試，前提是在Java環(huán)境中運行。在本次驗證過程中，我們需要用到的是Burp Suite工具中的Repeater模塊。在Repeater模塊中，我們可以手動修改請求參數(shù)，并重新發(fā)送請求數(shù)據(jù)，以幫助我們分析攔截到的請求信息。

通過Burp Suite工具抓取驗證碼請求包，我們可以看到在這個請求包中包含被驗證的手機號，以及send_code參數(shù)，即驗證碼為“4307”，如圖3所示。

點擊“send”按鈕，發(fā)送該請求，手機會收到一個驗證碼“4307”，如圖4所示，測試手機收到和在請求包中的驗證碼一樣。

到這一步，就已經(jīng)存在問題了。即發(fā)送給手機的驗證碼，我們可以利用Burp Suite工具抓取到。假如我們知道某一個已經(jīng)注冊該網(wǎng)站的手機號，就可以在不通過手機接收驗證碼的情況下獲取到驗證碼，進行登陸，進而獲取該用戶的信息，可能會造成嚴重的信息泄漏。

4.篡改驗證碼。我們也可以隨時對該網(wǎng)站的驗證碼進行篡改，在Repeater請求包中，比如我們將之前的驗證碼“4307”修改為“1111”，如圖5所示。然后點擊“send”按鈕發(fā)送該請求，手機同樣可以接收到驗證碼短信，如圖6所示，接收到的驗證碼已經(jīng)變成了“1111”。

通過上面的驗證過程，我們可以得出結論，這個網(wǎng)站存在驗證碼前端可控的網(wǎng)絡安全漏洞，這種驗證碼顯示在前端的方式是非常危險的。

三、防護建議

杜絕驗證碼繞過這類漏洞，最主要的原則就是一定要做好邏輯規(guī)劃，確認邏輯過程沒有可被利用的地方，否則一旦出現(xiàn)這種邏輯類的先天缺陷，所有后續(xù)的限制防護只是徒勞。

這次我們發(fā)現(xiàn)的驗證碼前端可控漏洞，只是驗證碼繞過類漏洞的一種，其它種類的驗證碼繞過漏洞還有許多，比如有的網(wǎng)站驗證碼會在cookie信息中傳輸，有的驗證碼會在響應包中返回，這些問題都是在做短信驗證邏輯規(guī)則時沒有考慮完善所導致的。

存在了驗證碼繞過漏洞，網(wǎng)站就有可能受到各種類型的攻擊，如短信炸彈攻擊。因為網(wǎng)站未對短信驗證碼數(shù)量以及間隔時間進行限制，攻擊者通過滲透工具將短信驗證碼無限制發(fā)送，造成網(wǎng)站不可訪問。我們要對驗證碼繞過漏洞重視起來，避免由于一個點的疏忽導致整個網(wǎng)站系統(tǒng)的全面崩潰，主要從以下幾個方面進行防護。

1.修改前端驗證碼發(fā)送機制。驗證碼不能在客戶端進行驗證，需要在網(wǎng)站服務端進行驗證。

2.限制短信發(fā)送時間間隔。比如限制短信在指定時間的發(fā)送數(shù)量，一分鐘只允許發(fā)送一次，一天總共發(fā)送多少次，防止網(wǎng)站被大量請求訪問。

3.對客戶訪問ip地址進行限制。如果某一用戶ip對短信接口短時間內(nèi)進行大量訪問，則對該用戶ip進行封禁，或間隔24小時后再允許訪問等機制。

4.用戶登錄網(wǎng)站時，添加圖片驗證碼，防止用戶帳號被爆破。

四、結束語

這次發(fā)現(xiàn)的網(wǎng)站驗證碼前端可控漏洞，通過漏洞驗證，我們不需要手機就可以獲得手機驗證碼，進而登錄網(wǎng)站，獲取用戶及網(wǎng)站信息。如果被惡意攻擊者利用該漏洞，獲取用戶數(shù)據(jù)，后果不堪設想。

黨的十八大以來，以習近平同志為核心的黨中央重視互聯(lián)網(wǎng)、發(fā)展互聯(lián)網(wǎng)、治理互聯(lián)網(wǎng)，統(tǒng)籌協(xié)調(diào)涉及政治、經(jīng)濟、文化、社會、軍事等領域信息化和網(wǎng)絡安全重大問題，作出一系列重大決策、提出一系列重大舉措，推動網(wǎng)信事業(yè)取得歷史性成就[2] 。網(wǎng)絡安全無小事，必須做到防患于未然。

參? 考? 文? 獻

[1] 人民網(wǎng). 深圳警方打掉一個新型盜刷銀行卡犯罪團伙. 2018-08-16 . http：//m.people.cn/n4/2018/0816/c3522-11460728.html;

[2] 中國習觀.網(wǎng)絡安全的重要性 習近平這些話擲地有聲. 2019-09-16. http：//guoqing.china.com.cn/2019zgxg/2019- 09/16/content_75211149.html？f=pad&a=true。