該漏洞出現(xiàn)主要的原因在于開發(fā)人員在第二步設(shè)置新密碼時服務(wù)端沒有對手機(jī)驗證碼進(jìn)行二次校驗����,導(dǎo)致當(dāng)攻擊者可以利用修改返回值的方式直接跳轉(zhuǎn)到設(shè)置新密碼頁面,然后重置用戶的密碼��。
短信驗證碼暴力破解
部分金融交易平臺為了用戶登錄方便會設(shè)置短信驗證碼登錄功能���,但并未對驗證碼的登錄錯誤次數(shù)進(jìn)行限制�����,導(dǎo)致可利用驗證碼爆破的方式強(qiáng)行登錄賬號����。在某證券交易平臺就曾出現(xiàn)過該安全問題�����。
該平臺使用6位數(shù)字隨機(jī)驗證碼進(jìn)行登錄����,但并未對登錄錯誤次數(shù)和驗證碼失效時間進(jìn)行限制,導(dǎo)致可以暴力破解該驗證碼強(qiáng)制登錄賬號�。如下圖:
同樣是通過返回值的length字段進(jìn)行判斷是否登錄成功。6位字段的爆破需要較長的時間��,但4位驗證碼的爆破時間最慢也僅需要約5分鐘左右。
代碼防護(hù)
針對案例一中的漏洞�����,我們建議在第二步修改密碼時服務(wù)端再次驗證手機(jī)驗證碼�,部分平臺所采用的做法是,第一步驗證碼提交成功后����,將驗證碼隱藏在一個“hidden”表單中,并在第二步修改密碼中進(jìn)行提交��,服務(wù)端再次驗證短信驗證碼����,保證準(zhǔn)確性,同時對驗證碼的錯誤次數(shù)進(jìn)行限制����,當(dāng)驗證錯誤超過特定次數(shù)��,當(dāng)前驗證碼無效���。
針對案例二中的漏洞�,我們同樣建議隨機(jī)驗證碼設(shè)置錯誤次數(shù)限制,當(dāng)驗證錯誤超過特定次數(shù)�,當(dāng)前驗證碼即無效。
2.4惡意注冊
漏洞描述
惡意注冊�,是指攻擊者利用網(wǎng)站注冊功能的安全漏洞,注冊大量的垃圾賬號���,導(dǎo)致系統(tǒng)增多大量無用數(shù)據(jù)��。一般網(wǎng)站開發(fā)者為了防止惡意注冊的行為��,在注冊頁面均會在加入一些需要人工輸入的步驟��,比方說短信驗證碼��,郵箱驗證等�。但是在對金融平臺測試的過程中�,同樣也發(fā)現(xiàn)了部分驗證功能可被繞過。
案例
注冊數(shù)據(jù)包重放繞過驗證碼
部分金融交易平臺為了保證注冊用戶的真實性���,往往都會要求驗證手機(jī)���,并通過發(fā)送驗證碼的方式來保證注冊賬號并非僵尸賬號,但是部分平臺的驗證碼可被多次重放����,導(dǎo)致可注冊大量垃圾賬號��,在某交易商城的注冊功能就存在該漏洞�����,下圖為注冊時需要給手機(jī)發(fā)送驗證碼的數(shù)據(jù)包:
小編推薦閱讀
