发布时间:2020-6-10 分类: 行业资讯
我们SINE Security在代购源码网站和APP方面进行代购源码网站安全检测时发现了很多公司代购源码网站和业务平台。 APP中存在一些逻辑代购源码网站漏洞。一些简单的短信验证码可能会带来整个代购源码网站。很多经济损失,代购源码网站功能非常简单,如用户密码恢复,会有绕过安全问题的答案,或绕过手机号码,直接修改用户的账号密码。
在SMS炸弹和用户密码检索到的代购源码网站漏洞中,让我们与您分享如何使用以及如何防止漏洞。
当我们查看在客户代购源码网站上执行代购源码网站安全测试时发现的SMS爆炸漏洞,当客户反映注册代购源码网站成员时,我们将收到几条重复的验证码短信,甚至多次点击将导致收到很多验证码信息,然后我们对SINE安全进行了详细的安全测试,发现问题,确实有多次向注册会员发送短信,我们提交数据,GET,POST模式多重安全测试,当你找到发布数据后,您可以在smg值后添加任何参数,这可能会导致代购源码网站将验证码短信发送到用户的手机。您可以发送无数短信。如果它被攻击者使用,它将带来无法估计的损失。
对于此次检测到的SMS炸弹漏洞,首先分析代码。从程序员编写的代码中,不在用户登录过程代码中执行详细的安全过滤,因此可以通过输入用户名和密码来发送验证码。另一个是在程序员设计过程中测试的手机号码存储在数据库中,导致许多普通用户在测试时接收到SMS验证码。此漏洞的另一个原因是程序代码中设计的初始密码为123456,这会导致在重置密码时将密码写入数据库。攻击者可以使用库轻松猜出用户的密码。 。
那么该如何防范短信炸弹漏洞呢?
从代购源码网站安全性和代购源码网站安全部署水平的角度来看,它可以防止在SMS平台上无数次发送短信。现在,阿里云的短信平台可以防止多次向用户的手机发送短信。您每天只能获得5个SMS安全限制,另一个是从程序代码执行安全加固以判断注册成员。如果是IP,则只能发送一条短信。用户可以在单击验证码发送之前输入图形验证码。在发送文本消息之前的间隔是60秒。在整体代购源码网站安全测试中,我们必须提前告知客户,我们正在做什么,代购源码网站漏洞扫描,代购源码网站漏洞利用,数据库写入删除等重要操作,我们必须提前告知客户,提前代购源码网站数据整体安全备份,包括数据库备份,代购源码网站源代码备份。在渗透测试中,我们必须首先进行安全评估。整体安全检查不会影响和失去用户。尽可能不影响客户代购源码网站的访问和业务的正常运作。下一篇文章分享了用户密码恢复漏洞的使用和分析。
本文来源:http://www.sinesafe.com/article/20180820
« BAOCMS商圈O2O系统2.0功能界面全新升级想要低调不行! | 为什么公司的官方代购源码网站会建立一个代购源码网站? »