網站安全檢測 針對於手機短信轟炸漏洞的檢測與修復辦法

不少公司網站的被攻擊，被篡改，都是存在着網站漏洞隱患的，也有不少客戶找到咱們SINE安全公司，對本身公司網站進行滲透測試服務，以及網站的安全檢測，漏洞檢測總體的安全服務，咱們SINE安全在平常對客戶網站進行安全滲透的同時，發現都存在着手機號任意發短信的漏洞，簡單來說就是短信轟炸漏洞。尤爲一些商城網站，平臺網站，會員註冊類型的網站都會使用手機號註冊，以及微信註冊，郵箱地址註冊，這樣作，方便大部分的用戶能夠快速的註冊帳號，登陸網站使用。

那麼在快捷，方便的需求下，網站的漏洞就會被忽視，從而被攻擊者利用並進行惡意攻擊，同行之家的競爭等等，均可以使用短信轟炸漏洞來使對方形成嚴重的損失。從公司方面來看問題，發送一條註冊的短信驗證碼就會向短信提供商收取必定的費用，雖然目前一條短信可能幾分錢，若是網站存在短信轟炸漏洞，那麼被攻擊者利用就能夠形成很大的損失，也給網站的用戶帶來了很大的影響。

當網站出現短信轟炸漏洞的時候用戶會以爲這個網站給他帶來了騷擾，不停的發送短信，讓用戶反感至極。那麼如何檢測網站存在這個業務邏輯漏洞呢？

首先咱們要從網站的各項功能上去滲透測試，安全測試，通常網站存在的功能是：會員帳號註冊功能，忘記密碼找回功能上，會員綁定手機郵箱功能，設置取款密碼使用手機驗證，或者是某項重要的操做，提現，充值等功能上須要手機短信驗證碼，再一個是網站活動領取獎品功能上。咱們來現場測試演練一下看看：

咱們在用戶註冊功能裏進行滲透測試，填好手機號點擊註冊，而後抓包數據，將截獲到的POST數據包進行修改，不停的發送一樣的POST數據到網站後端，若是手機號不停的收到短信，那麼就能夠證實網站存在短信轟炸漏洞。以下圖：

關於短信轟炸漏洞的修復方案與辦法

在網站代碼端限制用戶同一IP，一分鐘提交POST的次數與頻率，也能夠對同一手機號進行1分鐘獲取一次短信的限制，若是發送量大對該IP進行禁止訪問。再一個根據客戶網站的實際狀況設置發送短信的頻率，與手機號綁定。另一種防禦辦法就是設計上驗證碼發送短信，每次提交獲取短信都要輸入一次正確的圖文驗證碼。若是圖方便也能夠是用隨機的token進行安全過濾，每一個客戶提交的token值都不同，與服務器後端進行token比對。以上就是關於網站漏洞修復的方案與辦法，若是您對網站漏洞修復不是太懂的話，也能夠找專業的網站安全公司處理，國內SINESAFE，啓明星辰，綠盟都是比較不錯的安全公司，對網站的漏洞檢測與滲透測試必定要人工的去檢測，才能確切的發現網站存在的問題，知彼知己，才能將網站安全作到最大化。