商丘做网站,商丘网站优化,商丘网络推广,商丘网络公司
当前位置:首页 > 新闻资讯 > 建站经验 >

商丘信息网:用户密码找回网站漏洞的安全分析与利用

发表日期:2018-08-21 12:08聚圣源浏览次数: 本文关键词:商丘,信息网,用户,密码,找回,网站,漏洞,seo,

  我们SINE安全在对网站,以及APP端进行网站安全检测的时候发现很多公司网站以及业务平台,APP存在着一些逻辑上的网站漏洞,有些简简单单的短信验证码可能就会给整个网站带来很大的经济损失,很简单的网站功能,比如用户密码找回上,也会存在绕过安全问题回答,或者绕过手机号码,直接修改用户的账户密码。

  在短信炸弹,以及用户密码找回的网站漏洞上,我们来跟大家分享一下如何利用以及如何防范该漏洞的攻击。

商丘信息网:用户密码找回网站漏洞的安全分析与利用

  我们来看下之前对客户网站进行的网站安全检测的时候我们发现到的短信炸弹漏洞,由于客户反映注册网站会员的时候会收到好几条重复的验证码短信,甚至多次点击提交也会导致收到好多条验证码信息,随即我们SINE安全对其进行详细的安全检测,果然发现了问题,对注册会员的时候确实存在多次发送短信的情况,我们对提交的数据,GET,POST方式进行多次的安全测试,发现post数据的时候,在smg值后面随意添加任何参数,即可导致网站发送验证码短信到用户手机上,可以发送无数条短信,如果被攻击者利用,那带来的损失无法估量。

商丘信息网:用户密码找回网站漏洞的安全分析与利用

  对于这次检测出来的短信炸弹漏洞,首先分析代码,从之前程序员写的代码里看出,在用户登录这个过程代码里没有进行详细的安全过滤,导致输入用户名密码就可以发送验证码,再一个就是程序员设计的过程中将测试的手机号码都存放于数据库里,导致很多正常的用户收到测试时候的短信验证码。再一个漏洞产生的原因,就是程序代码里设计的初始化密码为123456,导致在找回密码重置密码的时候就会进行写入数据库,攻击者利用撞库就可以很容易的猜测到用户的密码。

  那么该如何防范短信炸弹漏洞呢?

  从网站安全的角度来分析,以及网站安全部署层面上看,在短信平台上可以做到防止短信无数发送,现在阿里云的短信平台,可以做到防止多次发送短信到用户手机,一个手机号一天只能接收5次短信的安全限制,再一个就是从程序代码里进行安全加固,对注册的会员,进行判断,如果是一个IP,只能发送一条短信。用户点击获取验证码前输入图文验证码,才能发送,间隔时间60秒才能发送一条短信。在整体的网站安全检测中我们要提前告知客户,我们在进行操作什么,网站漏洞扫描,网站漏洞利用,数据库写入删除等比较重要的操作,都要事先跟客户告知,提前对网站的数据进行整体的安全备份,包括数据库的备份,网站源代码的备份。在渗透测试当中我们要先进行安全评估,整体的安全检测会不会给用户带来影响以及损失,尽可能的不要产生影响客户网站访问,以及业务正常运转。下一篇文章跟大家分享用户密码找回漏洞的利用与分析。

如没特殊注明,文章均来自网络! 转载请注明来自:http://www.jushengyuan.com.cn/news/jzjy/10289.html

网站设计案例推荐

热门文章

站长工具综合查询里面SSL证书不...

SSL证书不安全是怎么回事?但是点进去这个提示后,显示的是别人的tdk是不是被劫持或者被黑了?...

日期:2018-03-27 浏览次数:1895

简洁而实用的版权信息可增色网...

打开网站,人们自然会从上往下浏览,首先映入眼帘的一定是BANNER主视觉,然后是网站主体内容部分。相比较而言,注意到网站底部版权信息的浏览者确实不多,但这并说明网站版权信...

日期:2018-09-20 浏览次数:1883

网站设计需要注意的3点问题...

对于网站设计来讲会受到很多因素的影响,而且不同类型的网站,在设计时需要体现的元素也不一样,比如说对于一个企业网站更想体现出品牌以及产品的特点,主要是对产品、企业信...

日期:2018-02-12 浏览次数:1808

企业网站为什么要改版 改版选择...

网站改版,是每个建站企业必须面临的工作。相信也有不少站长问,已经做好的企业网站,为何还要大费周章重新进行改版设计呢?下面小编就来给大家说说,企业究竟为什么要改变,并...

日期:2018-03-26 浏览次数:1338

永城网站制作:模板建站不可不...

随着互联网建站尤其是自助建站热潮不断高涨,建站行业涌现出越来越多的自助建站平台,这些平台普遍都提供网站模板可选。...

日期:2018-04-30 浏览次数:940

相关文章

【商丘网站建设】外贸公司网站...

好的外贸公司网站设计无疑能够给外贸企业到来大流量的客户,同时也会因为用户好的上网体验给企业实打实的业务流量。那么,到底什么样的外贸网站才是好的网站,在进行外贸公司...

日期:2018-08-28 浏览次数:65

【广西网络推广】想要网站用户...

网站要是一个用户流量都没有,说明这个网站建设是非常的失败,需要重新进行建站。不过再差的网站一般都会流量,只要推广方法用的好,网站用户流量自然会多起来,不过用户流量...

日期:2018-08-26 浏览次数:63

【商丘做网站】五大功能特点实...

云指建站,一种创新的建站方式,一个专注于为企业提供网站搭建,简单实用的建站工具,助力中小企业在互联网时代实现品牌推广。截止目前为止,云指建站用户量累计突破了50万大...

日期:2018-08-26 浏览次数:62

【江苏做网站】建站:用户的大...

建一个企业官网多少钱? 答案有很多种,少的几百,贵的几万!那么质量有什么区别呢? 有人说定制就贵,有人说模板建站便宜,诚然需要人力去个性执行的项目价格自然就会高,但是今...

日期:2018-08-26 浏览次数:64

【宁陵做网站】网站漏洞检测之...

我们SINE安全在对网站,以及APP端进行网站安全检测的时候发现很多公司网站以及业务平台,APP存在着一些逻辑上的网站漏洞,有些简简单单的短信验证码可能就会给整个网站带来很大的...

日期:2018-08-26 浏览次数:63

随机推荐

利用robots文件做seo优化,让蜘蛛...

网站建设如何突破同质化竞争的...

初期草根站长适合做什么样的网...

对于企业网站建设来说 哪些内容...

网站建设搜索框设计技巧和功能...

企业建站:打造炫酷官网的几个...