短信轰炸那些事(如何防止猥琐男如何骚扰妹子)
我是小号 (我是小学生) | 2014-03-08 20:50
0x00 引言
还对这条新闻记忆犹新吗?女子一天收10086近4万条短信几近崩溃,现在很多网站都开通了发送短信验证码的功能,更有甚者直接采取电话验证,但是程序员大叔只要一不小心不对这些发送验证码的接口进行处理就有可能让下一个下下一个MM受到猥琐男短信骚扰。本文就和大家来聊聊短信轰炸那些事情,知己知彼百战不殆,了解了猥琐男骚扰妹子的招式,程序员就可以大战猥琐男撸~
0x01 成因
事出有因,大致分一下类:
1.不对短信证发送次数进行限制(这直接导致可以无限连续发送重复短信到指定用户手机了)
危害:高
2.不对发送内容进行限制,导致短信内容伪造
危害:高
3.设置了一定的发送时间间隔(比如60s一次)但是发送请求不是POST而是GET,即配合CSRF发送短信轰炸攻击
危害:高
4.电话轰炸(这个更猥琐了),有些应用现在是直接电话播放验证码了!好高级哦,可是轰炸问题随之而来~
危害:高
0x03 案例
1.不对短信证发送次数进行限制,这个是短信轰炸漏洞中最严重的问题之一,由于程序员偷了一个小小的懒导致所有有手机的同学都有可能受到短信轰炸,互联网安全问题爆发,覆巢之下焉有完卵?
微信短信轰炸:
腾讯又一处短信轰炸:
http://www.wooyun.org/bug.php?action=view&id=8728
腾讯QQ验证短信轰炸:
支付宝短信轰炸:
苏宁易购
移动短信轰炸:
http://www.wooyun.org/bug.php?action=view&id=4689
2.不对发送内容进行限制,导致短信内容伪造,如果有一天10086突然给可爱的妹子你发来了“LOVE U”顿时感动了有木有!这就是爱情!呸,妹子醒醒吧,说不定是哪个黑客涮你呢~
腾讯一处短信内容伪造
WooYun: 利用腾讯发任意短信到任意号码(恭喜你又中奖了)
3.虽然设置了一定的发送时间间隔(比如60s一次)但是发送请求不是POST而是GET,这个很有意思,这是个配合CSRF的短信轰炸,一些网站确实加了一些验证措施但是这些措施都很弱,或者说是很傻,你以为限制用户60s发一次用户就没耐心继续骚扰人家了?但是可以借刀杀人,如果短信发送的请求是个GET请求,那么我们就可以用<img>标签引入大型网站,让上千万的用户24h全天候骚扰对方手机,虽然有时间限制,但是1分钟来一条短信,此时60s的短信发送验证显然成了摆设,程序员你要哭了有木有?!当然限制一个ip发起短信验证次数同样会成为摆设,如果这个思路用到了没有加任何验证的短信轰炸漏洞上,那危害是不是又要升级了?24小时+没有时间间隔的短信轰炸,真的是爽爆了啊~
例子暂时木有,大家去挖掘吧
4.电话轰炸(这个更猥琐了),有些应用现在是直接电话播放验证码了!好高级哦,可是轰炸问题随之而来~你怀疑这个问题是否存在?嘿嘿,还真的有哦!
快的打车短信轰炸加电话轰炸
0x04 问题解决
1.限制对同一手机号的验证发送次数
2.对于发送短信验证的请求要用POST请求,并加TOKEN
3.加验证码
各种吐槽:
1#
VIP (Fatal error: Call to undefined function getwb() in /data1/www/htdocs/106/wzone/1/index.php on line 10|@齐迹@小胖子@z7y@nauscript|昨晚做梦梦见了一个ecshop注射0day,醒来后忘记在哪了。|预留广告位) | 2014-03-08 20:50
收藏喽
2#
我是小号 (我是小学生) | 2014-03-08 20:55
@VIP 点击本文右下角那两个字“收(gan)藏(xie)”,即可收藏本文
3#
VIP (Fatal error: Call to undefined function getwb() in /data1/www/htdocs/106/wzone/1/index.php on line 10|@齐迹@小胖子@z7y@nauscript|昨晚做梦梦见了一个ecshop注射0day,醒来后忘记在哪了。|预留广告位) | 2014-03-08 20:55
@我是小号 已点
4#
hacker@sina.cn | 2014-03-08 21:02
楼主手机号给我
5#
Mujj (脚踩安全狗 拳打肾虚猿) | 2014-03-08 22:01
我觉得最叼的是运营商的那个
6#
O.o | 2014-03-09 03:27
马克~收藏~
7#
核攻击 (统治全球,奴役全人类!毁灭任何胆敢阻拦的有机生物!) | 2014-03-10 11:06
不错 ,不错
留言评论(旧系统):