您的位置:首頁(yè) > 菜鳥(niǎo)學(xué)院 > 金融行業(yè)平臺(tái)的針對(duì)性防御滲透測(cè)試
該漏洞出現(xiàn)主要的原因在于開(kāi)發(fā)人員在第二步設(shè)置新密碼時(shí)服務(wù)端沒(méi)有對(duì)手機(jī)驗(yàn)證碼進(jìn)行二次校驗(yàn),導(dǎo)致當(dāng)攻擊者可以利用修改返回值的方式直接跳轉(zhuǎn)到設(shè)置新密碼頁(yè)面,然后重置用戶的密碼。
短信驗(yàn)證碼暴力破解
部分金融交易平臺(tái)為了用戶登錄方便會(huì)設(shè)置短信驗(yàn)證碼登錄功能,但并未對(duì)驗(yàn)證碼的登錄錯(cuò)誤次數(shù)進(jìn)行限制,導(dǎo)致可利用驗(yàn)證碼爆破的方式強(qiáng)行登錄賬號(hào)。在某證券交易平臺(tái)就曾出現(xiàn)過(guò)該安全問(wèn)題。
該平臺(tái)使用6位數(shù)字隨機(jī)驗(yàn)證碼進(jìn)行登錄,但并未對(duì)登錄錯(cuò)誤次數(shù)和驗(yàn)證碼失效時(shí)間進(jìn)行限制,導(dǎo)致可以暴力破解該驗(yàn)證碼強(qiáng)制登錄賬號(hào)。如下圖:
同樣是通過(guò)返回值的length字段進(jìn)行判斷是否登錄成功。6位字段的爆破需要較長(zhǎng)的時(shí)間,但4位驗(yàn)證碼的爆破時(shí)間最慢也僅需要約5分鐘左右。
代碼防護(hù)
針對(duì)案例一中的漏洞,我們建議在第二步修改密碼時(shí)服務(wù)端再次驗(yàn)證手機(jī)驗(yàn)證碼,部分平臺(tái)所采用的做法是,第一步驗(yàn)證碼提交成功后,將驗(yàn)證碼隱藏在一個(gè)“hidden”表單中,并在第二步修改密碼中進(jìn)行提交,服務(wù)端再次驗(yàn)證短信驗(yàn)證碼,保證準(zhǔn)確性,同時(shí)對(duì)驗(yàn)證碼的錯(cuò)誤次數(shù)進(jìn)行限制,當(dāng)驗(yàn)證錯(cuò)誤超過(guò)特定次數(shù),當(dāng)前驗(yàn)證碼無(wú)效。
針對(duì)案例二中的漏洞,我們同樣建議隨機(jī)驗(yàn)證碼設(shè)置錯(cuò)誤次數(shù)限制,當(dāng)驗(yàn)證錯(cuò)誤超過(guò)特定次數(shù),當(dāng)前驗(yàn)證碼即無(wú)效。
漏洞描述
惡意注冊(cè),是指攻擊者利用網(wǎng)站注冊(cè)功能的安全漏洞,注冊(cè)大量的垃圾賬號(hào),導(dǎo)致系統(tǒng)增多大量無(wú)用數(shù)據(jù)。一般網(wǎng)站開(kāi)發(fā)者為了防止惡意注冊(cè)的行為,在注冊(cè)頁(yè)面均會(huì)在加入一些需要人工輸入的步驟,比方說(shuō)短信驗(yàn)證碼,郵箱驗(yàn)證等。但是在對(duì)金融平臺(tái)測(cè)試的過(guò)程中,同樣也發(fā)現(xiàn)了部分驗(yàn)證功能可被繞過(guò)。
案例
注冊(cè)數(shù)據(jù)包重放繞過(guò)驗(yàn)證碼
部分金融交易平臺(tái)為了保證注冊(cè)用戶的真實(shí)性,往往都會(huì)要求驗(yàn)證手機(jī),并通過(guò)發(fā)送驗(yàn)證碼的方式來(lái)保證注冊(cè)賬號(hào)并非僵尸賬號(hào),但是部分平臺(tái)的驗(yàn)證碼可被多次重放,導(dǎo)致可注冊(cè)大量垃圾賬號(hào),在某交易商城的注冊(cè)功能就存在該漏洞,下圖為注冊(cè)時(shí)需要給手機(jī)發(fā)送驗(yàn)證碼的數(shù)據(jù)包:
小編推薦閱讀國(guó)產(chǎn)工具PKAV HTTP Fuzzer滲透測(cè)試助手最新發(fā)布
閱讀FireEye:11.2%的移動(dòng)APP仍存在FREAK漏洞
閱讀惠普漏洞:惠普ArcSight企業(yè)安全系列產(chǎn)品曝高危安全漏洞
閱讀騰訊、360各顯神通,分別秒殺IE、Flash、PDF項(xiàng)目
閱讀蘋(píng)果Mac OS X系統(tǒng)被發(fā)現(xiàn)存在DLL劫持漏洞
閱讀金融行業(yè)平臺(tái)的針對(duì)性防御滲透測(cè)試
閱讀D-Link(友訊)路由器曝遠(yuǎn)程文件上傳及命令注入漏洞(已發(fā)布安全更新)
閱讀Win10將使用P2P進(jìn)行系統(tǒng)更新,引發(fā)安全擔(dān)憂
閱讀美國(guó)最大的無(wú)卡ATM網(wǎng)絡(luò)即將推出,從此告別刷卡!
閱讀谷歌應(yīng)用漏洞泄漏超過(guò)28萬(wàn)條私人WHOIS數(shù)據(jù)
閱讀使命召喚、魔獸世界、英雄聯(lián)盟……專攻游戲的勒索軟件TeslaCrypt
閱讀本站所有軟件,都由網(wǎng)友上傳,如有侵犯你的版權(quán),請(qǐng)發(fā)郵件[email protected]
湘ICP備2022002427號(hào)-10 湘公網(wǎng)安備:43070202000427號(hào)© 2013~2024 haote.com 好特網(wǎng)