阿里云優(yōu)惠券 先領(lǐng)券再下單

很多公司網(wǎng)站的被攻擊，被篡改，都是存在著網(wǎng)站漏洞隱患的，也有很多客戶找到我們SINE安全公司，對自己公司網(wǎng)站進行滲透測試服務(wù)，以及網(wǎng)站的安全檢測，漏洞檢測整體的安全服務(wù)，我們SINE安全在日常對客戶網(wǎng)站進行安全滲透的同時，發(fā)現(xiàn)都存在著手機號任意發(fā)短信的漏洞，簡單來講就是短信轟炸漏洞。尤其一些商城網(wǎng)站，平臺網(wǎng)站，會員注冊類型的網(wǎng)站都會使用手機號注冊，以及微信注冊，郵箱地址注冊，這樣做，方便大部分的用戶可以快速的注冊賬號，登錄網(wǎng)站使用。

那么在快捷，方便的需求下，網(wǎng)站的漏洞就會被忽視，從而被攻擊者利用并進行惡意攻擊，同行之家的競爭等等，都可以使用短信轟炸漏洞來使對方造成嚴(yán)重的損失。從公司方面來看問題，發(fā)送一條注冊的短信驗證碼就會向短信提供商收取一定的費用，雖然目前一條短信可能幾分錢，如果網(wǎng)站存在短信轟炸漏洞，那么被攻擊者利用就可以造成很大的損失，也給網(wǎng)站的用戶帶來了很大的影響。

當(dāng)網(wǎng)站出現(xiàn)短信轟炸漏洞的時候用戶會覺得這個網(wǎng)站給他帶來了騷擾，不停的發(fā)送短信，讓用戶反感至極。那么如何檢測網(wǎng)站存在這個業(yè)務(wù)邏輯漏洞呢?

首先我們要從網(wǎng)站的各項功能上去滲透測試，安全測試，一般網(wǎng)站存在的功能是：會員賬號注冊功能，忘記密碼找回功能上，會員綁定手機郵箱功能，設(shè)置取款密碼使用手機驗證，或者是某項重要的操作，提現(xiàn)，充值等功能上需要手機短信驗證碼，再一個是網(wǎng)站活動領(lǐng)取獎品功能上。我們來現(xiàn)場測試演練一下看看：

我們在用戶注冊功能里進行滲透測試，填好手機號點擊注冊，然后抓包數(shù)據(jù)，將截獲到的POST數(shù)據(jù)包進行修改，不停的發(fā)送同樣的POST數(shù)據(jù)到網(wǎng)站后端，如果手機號不停的收到短信，那么就可以證明網(wǎng)站存在短信轟炸漏洞。如下圖：

關(guān)于短信轟炸漏洞的修復(fù)方案與辦法

在網(wǎng)站代碼端限制用戶同一IP，一分鐘提交POST的次數(shù)與頻率，也可以對同一手機號進行1分鐘獲取一次短信的限制，如果發(fā)送量大對該IP進行禁止訪問。再一個根據(jù)客戶網(wǎng)站的實際情況設(shè)置發(fā)送短信的頻率，與手機號綁定。另外一種防護辦法就是設(shè)計上驗證碼發(fā)送短信，每次提交獲取短信都要輸入一次正確的圖文驗證碼。如果圖方便也可以是用隨機的token進行安全過濾，每個客戶提交的token值都不一樣，與服務(wù)器后端進行token比對。以上就是關(guān)于網(wǎng)站漏洞修復(fù)的方案與辦法，如果您對網(wǎng)站漏洞修復(fù)不是太懂的話，也可以找專業(yè)的網(wǎng)站安全公司處理，國內(nèi)SINESAFE，啟明星辰，綠盟都是比較不錯的安全公司，對網(wǎng)站的漏洞檢測與滲透測試一定要人工的去檢測，才能確切的發(fā)現(xiàn)網(wǎng)站存在的問題，知彼知己，才能將網(wǎng)站安全做到最大化。

申請創(chuàng)業(yè)報道，分享創(chuàng)業(yè)好點子。點擊此處，共同探討創(chuàng)業(yè)新機遇！