返回
网站优化

网站安全检测 针对于手机短信轰炸漏洞的检测与修复办法

发表日期:2019-06-24     浏览次数:
  很多公司网站的被攻击,被篡改,都是存在着网站漏洞隐患的,也有很多客户找到我们SINE安全公司,对自己公司网站进行渗透测试服务,以及网站的安全检测,漏洞检测整体的安全服务,我们SINE安全在日常对客户网站进行安全渗透的同时,发现都存在着手机号任意发短信的漏洞,简单来讲就是短信轰炸漏洞。尤其一些商城网站,平台网站,会员注册类型的网站都会使用手机号注册,以及微信注册,邮箱地址注册,这样做,方便大部分的用户可以快速的注册账号,登录网站使用。
  
  那么在快捷,方便的需求下,网站的漏洞就会被忽视,从而被攻击者利用并进行恶意攻击,同行之家的竞争等等,都可以使用短信轰炸漏洞来使对方造成严重的损失。从公司方面来看问题,发送一条注册的短信验证码就会向短信提供商收取一定的费用,虽然目前一条短信可能几分钱,如果网站存在短信轰炸漏洞,那么被攻击者利用就可以造成很大的损失,也给网站的用户带来了很大的影响。
  
  当网站出现短信轰炸漏洞的时候用户会觉得这个网站给他带来了骚扰,不停的发送短信,让用户反感至极。那么如何检测网站存在这个业务逻辑漏洞呢?
  
  首先我们要从网站的各项功能上去渗透测试,安全测试,一般网站存在的功能是:会员账号注册功能,忘记密码找回功能上,会员绑定手机邮箱功能,设置取款密码使用手机验证,或者是某项重要的操作,提现,充值等功能上需要手机短信验证码,再一个是网站活动领取奖品功能上。我们来现场测试演练一下看看:
  
  我们在用户注册功能里进行渗透测试,填好手机号点击注册,然后抓包数据,将截获到的POST数据包进行修改,不停的发送同样的POST数据到网站后端,如果手机号不停的收到短信,那么就可以证明网站存在短信轰炸漏洞。如下图:
  
  关于短信轰炸漏洞的修复方案与办法
  
  在网站代码端限制用户同一IP,一分钟提交POST的次数与频率,也可以对同一手机号进行1分钟获取一次短信的限制,如果发送量大对该IP进行禁止访问。再一个根据客户网站的实际情况设置发送短信的频率,与手机号绑定。另外一种防护办法就是设计上验证码发送短信,每次提交获取短信都要输入一次正确的图文验证码。如果图方便也可以是用随机的token进行安全过滤,每个客户提交的token值都不一样,与服务器后端进行token比对。以上就是关于网站漏洞修复的方案与办法,如果您对网站漏洞修复不是太懂的话,也可以找专业的网站安全公司处理,国内SINESAFE,启明星辰,绿盟都是比较不错的安全公司,对网站的漏洞检测与渗透测试一定要人工的去检测,才能确切的发现网站存在的问题,知彼知己,才能将网站安全做到最大化。
更多相关信息:
在百度搜索网站安全检测 针对于手机短信轰炸漏的信息
在搜搜搜网站安全检测 针对于手机短信轰炸漏的信息
在必应搜索网站安全检测 针对于手机短信轰炸漏的信息
在360搜索网站安全检测 针对于手机短信轰炸漏的信息
在搜狗搜索网站安全检测 针对于手机短信轰炸漏的信息
在雅虎搜索网站安全检测 针对于手机短信轰炸漏的信息
返回列表
相关新闻

网站权重概念是什么?

    网站权重的概念是每个从事SEO的人都会接触到概念,那么,怎么才能更好的理解网站权重呢?下面说一下自己的理解。 要理解网站权重,首先来看一下什么是权重:权重...


提高网站权重的十个方法

    提高网站权重的十个方法 ①如何查看网站的权重: 借助5118、站长等工具网站进行查询,但展示的指数却并非准确,因为网站关键词的排名,是通过某种特有的公式进行反...


如何让网站一个月内从权重0到8

    做网站的都知道一点,网站在运营时网站优化必不可少,因为他决定了你的网站流量来源,而网站流量决定了成交量或是广告带来的营收,且网站优化并不是一朝一夕能够...


百度排名、百度权重、百度指数词之间有

    什么是百度排名? 什么是百度权重? 什么是百度指数词? 以上三句话相信对于刚刚步入seo的新手也会明白以上说述!但是你真的了解他? 以下就是今天跟大家讨论的话题: 1...


网站权重怎么提升

    做网站的朋友们都知道,网站权重对网站流量名次都很重要。因为高权重的网站会更受搜索欢迎,同样的内容高权重的网站更容易获得排名,也可以被理解为更受搜索引擎...


高权重网站是怎样炼成的?

    做网站的朋友们都知道,网站权重对网站流量名次都很重要。因为高权重的网站会更受搜索欢迎,同样的内容高权重的网站更容易获得排名,也可以被理解为更受搜索引擎...