浅谈短信验证码漏洞

前言

在日常的授权测试中,很大一部分只有一个登录界面,在这个登录界面其实可以测试的东西有很多,比如用户名枚举,弱密码,验证码,找回密码等等一系列问题。现在的网站为了更好的用户体验,免去大家登录网站都要注册的问题,通常都采用了发送短信验证码的方式来登录,一方面是便捷,另一方面也算是采用的动态密码,安全性比较高,那随之而来的验证码的安全性问题也就显现出来了。

一 短信轰炸漏洞

短信轰炸问题其实是最容易想到的,当然对于短信的轰炸问题,还要分几类情况看待

1.1 无任何限制的短信轰炸

这种应该是在短信轰炸中最简单粗暴的一种方式吧,没有任何限制只需要通过burpsuite去重放数据包即可,然后就可以达到消耗目标网站的短信数量以及对手机号码拥有者造成困扰

1.2 有验证码的短信轰炸

这个相对于无任何限制的短信轰炸是做了限制的,加上了验证码。如果验证码可以重放的话那还是可以归类到无任何限制的短信轰炸中。如果验证码不能重放并且也不能通过手段提前预知,我最常采用的方法便是python的selenium模块配合验证码识别工具去模拟浏览器请求登录,这种方式不用考虑复杂的交互情况,完全交给浏览器去实现,准确度取决于你验证码识别工具的准确度。网上有很多识图工具,比如各大厂商的OCR等等,或者是github上各位大佬的基于机器学习的验证码识别工具等等

importrequestsimporttimeimporthashlibfromseleniumimportwebdriverfromPILimportImagefrombs4importBeautifulSoupheaders={"User-Agent":"Mozilla/5.0 (Windows NT 10.0; WOW64; rv:56.0) Gecko/20100101 Firefox/56.0","Accept":"*/*","Accept-Language":"zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3","X-Forwarded-For":"137.0.0.2","Content-Type":"application/json;charset=utf-8"}proxies={"http":"http://127.0.0.1:8080","https":"https://127.0.0.1:8080"}defyanzhengma():url='http://127.0.0.1:7779'files=open("E:/img/t1.png",'rb')r=requests.post(url,proxies=proxies,data=files)returnr.textdefsendPhone(brower,ph):brower.get('https://xxx.xxx.xxx')phone=brower.find_element_by_xpath("//*[@id=\"mobile\"]")phone.send_keys(ph)path='E://img//t.png'imgpath='E:/img/t1.png'brower.get_screenshot_as_file(path)im=Image.open(path)box=(1157,320,1274,380)region=im.crop(box)region.save(imgpath)submit=brower.find_element_by_xpath("//*[@id=\"sendSms\"]")image=brower.find_element_by_xpath("//*[@id=\"verifyCode\"]")yzm=yanzhengma()image.send_keys(yzm)submit.click()time.sleep(5)defmain():brower=webdriver.Chrome()foriinrange(0,10):sendPhone(brower,"11111111111")if__name__=='__main__':main()

先通过屏幕截屏获取整个图片,然后再去截取验证码,最后通过验证码识别器识别出验证码后发送到浏览器触发短信轰炸漏洞,该漏洞的危害性主要取决于验证码识别的难易程度以及对发送短信次数的限制。现在基本主流的网站在手机验证码的时候必须要进行一步验证,最主要的是验证码验证,当然现在还有滑块验证之类的。有兴趣的可以去尝试通过模拟浏览器登录破解滑块验证码。

1.3 特殊字符的填充

这种问题应该算是对限制手机发送短信的一种绕过方式,他的逻辑应该是这样的,用户输入手机号——>后端判断该手机号是否在30秒或者60秒内请求过——>如果没有,判断发送过来的手机号是够是11位的纯数字,如果不是,去掉非数字字符——>和数据库中的手机号比对,是够存在于数据库中,如果存在那么向该手机发送验证码。

看到这个逻辑你想到了啥,如果我们一开始输入的是11111111111这个号码,下次你空格+11111111111岂不是就同样给11111111111发送验证码,在下次加两个空格或者别的字符

1.4 短信发送间隔太短

有的网站设定的短信发送间隔是30秒,时间间隔太短,可以找一批手机号,控制请求间隔,保证每个手机号两个发送间隔大于30秒即可,同样可以造成短信轰炸漏洞

1.5 ip限制绕过

该漏洞的主要原因是限制的是IP并不是手机号,简单粗暴的方式增加代理池再去爆破,但这样成本太高,那这个漏洞的危害性就比较小了。那么如果服务端对于IP的校验可以在前端进行伪造绕过IP限制那这个危害相对来说就比较大了。

这里推荐一个IP伪造的burpsuite插件 https://github.com/TheKingOfDuck/BurpFakeIP/

http协议中的IP伪造不同于TCP/IP协议,在实现正常的TCP/IP 双方通信情况下,是无法伪造来源 IP 的,也就是说,在 TCP/IP 协议中,可以伪造数据包来源IP,但这会让发送出去的数据包有去无回,无法实现正常的通信。

HTTP 是一个应用层协议,基于请求/响应模型。客户端(往往是浏览器)请求与服务器端响应一一对应。服务器的响应格式也是类似的由响应头信息和响应正文构成。如果服务器通过request中的 x-forwarded-for 和 client-ip 等来获取客户端的ip,那么客户端可以伪造 Client-Ip, X-Forward-For等内容欺骗程序,达到"伪造IP"的目的。

1.6 图片验证码可置为空

如果你前端不传递验证码的话后端即不验证验证码,删除验证码即可触发短信炸弹漏洞,其实还有删除cookie等操作。不光出现在短信轰炸处,比如找回密码处等同样存在这样的问题

形如 https://xxx.xxx.xxx/login.php?action=send&mobile=11111111111&send_code=undefined

二 验证码可以枚举

这也是个老生长谈的问题,主要是因为验证码是4位或者5位的数字验证码,并且验证码的过期时间很长造成的。尤其是4位数字验证码,只要枚举一万次即可枚举出正确的验证码,对于burpsuite来说,在没有限制的情况下请求1万次的

时间应该在10分钟以内

三 手机号码可以篡改

篡改接收验证码的手机号,如果验证码没有和手机绑定就可以进行一系列高危操作,比如登录账号,任意更改密码呀。举个例子,在找回密码处在给手机发送验证码时,会在请求包中出现手机号码,可以篡改手机号码,但是系统默认还是在找回密码第一步中输入的用户名,这样就可以劫持验证码,达到重置密码的效果。

有的确定可以通过更改手机号来获取验证码,但是无法通过校验,同样可以探测是否存在任意手机号触发短信轰炸的漏洞

四 自定义验证码内容

举一个抖音海外版的例子,其他漏洞相关内容可以参照(https://www.freebuf.com/vuls/224963.html)

在TikTok的主要网站有一项功能可以让用户向自己发送SMS短信以下载该应用程序,DOWNLOAD_URL参数是会出现在SMS短信中的下载链接,所以只要篡改该参数即可实现篡改下载链接来进行钓鱼诈骗等相关活动

看一下手机接收到的信息

五 验证码客户端绕过

这种也很常见,你点击发送验证码,然后随便输入验证码,然后更改返回包中的相关值即可实现验证码绕过,但经过这些年的洗礼,这种漏洞已经很少了,至少大厂应该大部分是不存在这种漏洞的

只需要把状态码改为0即可实现绕过

总结

短信验证码的安全性随着手机登录的普及变得越来越重要,对于短息验证码问题,列举几个通用的解决方法:

不要把验证方式置于前端,手机号和短信验证码在服务器进行唯一性绑定验证。

在服务端限制短信验证码发送周期,设置时效性,限制发送次数。

封禁的应该是恶意请求的手机号而不是IP地址,对一天内每一个手机号获得的验证码次数进行限制。

手机验证码生成6位或者以上的数字+字母组合的验证码,并且保证用后即失效

禁止用户自定义短信内容

©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 203,324评论 5 476
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 85,303评论 2 381
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 150,192评论 0 337
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,555评论 1 273
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,569评论 5 365
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,566评论 1 281
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 37,927评论 3 395
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,583评论 0 257
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 40,827评论 1 297
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,590评论 2 320
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,669评论 1 329
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,365评论 4 318
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 38,941评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,928评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,159评论 1 259
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 42,880评论 2 349
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,399评论 2 342

推荐阅读更多精彩内容