您的位置:首頁(yè) > 菜鳥(niǎo)學(xué)院 > 金融行業(yè)平臺(tái)的針對(duì)性防御滲透測(cè)試

金融行業(yè)平臺(tái)的針對(duì)性防御滲透測(cè)試

來(lái)源:互聯(lián)網(wǎng) | 時(shí)間:2015-03-18 10:02:08 | 閱讀:160 |  標(biāo)簽: 網(wǎng)絡(luò)安全   | 分享到:

金融行業(yè)平臺(tái)的針對(duì)性防御滲透測(cè)試


金融行業(yè)平臺(tái)的針對(duì)性防御滲透測(cè)試

該漏洞出現(xiàn)主要的原因在于開(kāi)發(fā)人員在第二步設(shè)置新密碼時(shí)服務(wù)端沒(méi)有對(duì)手機(jī)驗(yàn)證碼進(jìn)行二次校驗(yàn),導(dǎo)致當(dāng)攻擊者可以利用修改返回值的方式直接跳轉(zhuǎn)到設(shè)置新密碼頁(yè)面,然后重置用戶的密碼。

短信驗(yàn)證碼暴力破解

部分金融交易平臺(tái)為了用戶登錄方便會(huì)設(shè)置短信驗(yàn)證碼登錄功能,但并未對(duì)驗(yàn)證碼的登錄錯(cuò)誤次數(shù)進(jìn)行限制,導(dǎo)致可利用驗(yàn)證碼爆破的方式強(qiáng)行登錄賬號(hào)。在某證券交易平臺(tái)就曾出現(xiàn)過(guò)該安全問(wèn)題。

該平臺(tái)使用6位數(shù)字隨機(jī)驗(yàn)證碼進(jìn)行登錄,但并未對(duì)登錄錯(cuò)誤次數(shù)和驗(yàn)證碼失效時(shí)間進(jìn)行限制,導(dǎo)致可以暴力破解該驗(yàn)證碼強(qiáng)制登錄賬號(hào)。如下圖:

金融行業(yè)平臺(tái)的針對(duì)性防御滲透測(cè)試

同樣是通過(guò)返回值的length字段進(jìn)行判斷是否登錄成功。6位字段的爆破需要較長(zhǎng)的時(shí)間,但4位驗(yàn)證碼的爆破時(shí)間最慢也僅需要約5分鐘左右。

代碼防護(hù)

針對(duì)案例一中的漏洞,我們建議在第二步修改密碼時(shí)服務(wù)端再次驗(yàn)證手機(jī)驗(yàn)證碼,部分平臺(tái)所采用的做法是,第一步驗(yàn)證碼提交成功后,將驗(yàn)證碼隱藏在一個(gè)“hidden”表單中,并在第二步修改密碼中進(jìn)行提交,服務(wù)端再次驗(yàn)證短信驗(yàn)證碼,保證準(zhǔn)確性,同時(shí)對(duì)驗(yàn)證碼的錯(cuò)誤次數(shù)進(jìn)行限制,當(dāng)驗(yàn)證錯(cuò)誤超過(guò)特定次數(shù),當(dāng)前驗(yàn)證碼無(wú)效。

針對(duì)案例二中的漏洞,我們同樣建議隨機(jī)驗(yàn)證碼設(shè)置錯(cuò)誤次數(shù)限制,當(dāng)驗(yàn)證錯(cuò)誤超過(guò)特定次數(shù),當(dāng)前驗(yàn)證碼即無(wú)效。

2.4惡意注冊(cè)

漏洞描述

惡意注冊(cè),是指攻擊者利用網(wǎng)站注冊(cè)功能的安全漏洞,注冊(cè)大量的垃圾賬號(hào),導(dǎo)致系統(tǒng)增多大量無(wú)用數(shù)據(jù)。一般網(wǎng)站開(kāi)發(fā)者為了防止惡意注冊(cè)的行為,在注冊(cè)頁(yè)面均會(huì)在加入一些需要人工輸入的步驟,比方說(shuō)短信驗(yàn)證碼,郵箱驗(yàn)證等。但是在對(duì)金融平臺(tái)測(cè)試的過(guò)程中,同樣也發(fā)現(xiàn)了部分驗(yàn)證功能可被繞過(guò)。

案例

注冊(cè)數(shù)據(jù)包重放繞過(guò)驗(yàn)證碼

部分金融交易平臺(tái)為了保證注冊(cè)用戶的真實(shí)性,往往都會(huì)要求驗(yàn)證手機(jī),并通過(guò)發(fā)送驗(yàn)證碼的方式來(lái)保證注冊(cè)賬號(hào)并非僵尸賬號(hào),但是部分平臺(tái)的驗(yàn)證碼可被多次重放,導(dǎo)致可注冊(cè)大量垃圾賬號(hào),在某交易商城的注冊(cè)功能就存在該漏洞,下圖為注冊(cè)時(shí)需要給手機(jī)發(fā)送驗(yàn)證碼的數(shù)據(jù)包:

小編推薦閱讀

好特網(wǎng)發(fā)布此文僅為傳遞信息,不代表好特網(wǎng)認(rèn)同期限觀點(diǎn)或證實(shí)其描述。

相關(guān)視頻攻略

更多

掃二維碼進(jìn)入好特網(wǎng)手機(jī)版本!

掃二維碼進(jìn)入好特網(wǎng)微信公眾號(hào)!

本站所有軟件,都由網(wǎng)友上傳,如有侵犯你的版權(quán),請(qǐng)發(fā)郵件[email protected]

湘ICP備2022002427號(hào)-10 湘公網(wǎng)安備:43070202000427號(hào)© 2013~2024 haote.com 好特網(wǎng)