解决网站漏洞如何修复对短信验证码被盗刷 该怎么办

简介:

公司的商城网站刚上线运营不到一个星期,网站就被攻击了,导致公司网站的短信通道被人恶意刷了几万条短信,损失较大,同时服务器也遭受到了前所未有的攻击。CPU监控看到网站在被盗刷短信验证码的时候,CPU一直保持在%95,网站甚至有些时候都无法打开。

网站被攻击后我登录了阿里云进去看了下,受到了很多阿里云提示的安全提醒,阿里云竟然没有给我拦截,我打电话咨询阿里云,阿里云竟然说我没有购买他们的云防火墙,阿里云客服还一再的推销让我们公司购买他们的云防火墙来防止短信验证码攻击,本身我也是做技术出身的,还是懂一些代码以及安全方面的,公司领导立即开会研究这个问题该如何解决,任命我带头负责处理此次的安全问题。

首先关于网站短信验证码被盗刷,从多个层面去分析漏洞产生的原因,基础带宽线路层,服务器层,网站层,三个方面去分析解决问题。

基础带宽应用层是:像DDOS,CC,带宽流量的攻击属于基础带宽,如果网站遭受到攻击,网站打不开,打开无法显示一般都是基础带宽应用层受到了攻击,防御办法也是通过高防服务器的硬防来防止攻击,但是也会造成误封,多层流量清洗防止攻击。

服务器层面,服务器被攻击的话,一般也会造成短信验证码盗刷,攻击者入侵服务器,并在服务器里直接与短信验证码平台通信发送数据,多频率的发送,修改数据库,都会造成短信验证码的盗刷。

网站层,经过多年的技术开发与安全接触,短信验证码被盗刷,都是网站存在漏洞导致的,尤其写的代码并没有对请求的次数,以及请求的函数,请求IP,进行安全过滤,这次公司商城网站被盗刷短信很大一部分原因是代码上的漏洞,代码开发有问题,先从代码入手查看问题,检查了所有关于获取短信验证码调用的代码,在一个会员找回密码功能这里,我们发现了问题,代码里竟然没有对请求的次数,频率,IP,进行限制,导致攻击者利用该页面功能,POST伪造函数多次请求找回密码页面,导致短信被刷,瞬时间服务器都会遭受压力,CPU达到百分之95.针对这个漏洞,我们对代码漏洞进行了修复,限制请求次数,频率,手机号码唯一性判断,IP判断验证等等的安全策略来阻止短信验证码被盗刷。

至此短信被盗刷的问题得以解决,网站代码的开发环节真的很重要,在网站上线之前一定要对网站的安全进行测试,许多程序员在开发代码的时候只顾功能并不会考虑到安全问题,甚至有些程序员的安全意识很薄弱,导致代码出现sql注入漏洞,XSS跨站漏洞,数据库漏洞,等等问题,如果不懂如何修复网站漏洞,也可以找专业的网站安全公司来处理,国内也就Sinesafe和绿盟、启明星辰等安全公司比较专业.

相关文章
|
安全 前端开发 JavaScript
|
安全 测试技术 网络安全
网站渗透测试服务之短信轰炸漏洞挖掘与修复
很多公司网站的被攻击,被篡改,都是存在着网站漏洞隐患的,也有很多客户找到我们SINE安全公司,对自己公司网站进行渗透测试服务,以及网站的安全检测,漏洞检测整体的安全服务,我们SINE安全在日常对客户网站进行安全渗透的同时,发现都存在着手机号任意发短信的漏洞,简单来讲就是短信轰炸漏洞。尤其一些商城网站,平台网站,会员注册类型的网站都会使用手机号注册,以及微信注册,邮箱地址注册,这样做,方便大部分的用户可以快速的注册账号,登录网站使用。
1043 1
网站渗透测试服务之短信轰炸漏洞挖掘与修复
|
SQL 监控 安全
解决网站漏洞 短信验证码被盗刷 该怎么办?
公司的商城网站刚上线运营不到一个星期,网站就被攻击了,导致公司网站的短信通道被人恶意刷了几万条短信,损失较大,同时服务器也遭受到了前所未有的攻击。CPU监控看到网站在被盗刷短信验证码的时候,CPU一直保持在%95,网站甚至有些时候都无法打开。
443 0
解决网站漏洞 短信验证码被盗刷 该怎么办?
|
SQL 安全 前端开发
网站会员信息被黑客入侵攻击修改了数据怎么解决
2020春节即将来临,收到新聚合支付平台网站客户的求助电话给我们Sinesafe,反映支付订单状态被修改由原先未支付修改为已支付,导致商户那边直接发货给此订单会员了,商户和平台的损失较大,很多码商都不敢用此支付平台了,为了防止聚合支付系统继续被攻击,我们SINE安全大体情况了解后,立即安排从业十年的安全工程师,成立聚合、通道支付平台安全应急响应小组。
287 0
网站会员信息被黑客入侵攻击修改了数据怎么解决
|
SQL 安全 关系型数据库
网站被劫持了自动跳转彩票网站怎么修复
某一客户单位的网站首页被篡改,并收到网监的通知说是网站有漏洞,接到上级部门的信息安全整改通报,贵单位网站被植入木马文件,导致网站首页篡改跳转到caipiao网站,根据中华人民共和国计算机信息系统安全保护条例以及信息安全等级保护管理办法的规定,请贵单位尽快对网站漏洞进行修复,核实网站发生的实际安全问题,对发生的问题进行全面的整改与处理,避免网站事态扩大。我们SINE安全公司第一时间应急响应处理,对客户的网站进行安全检测,消除网站安全隐患。
265 0
网站被劫持了自动跳转彩票网站怎么修复
|
SQL 安全 Linux
支付平台目前订单状态被篡改 刷钱 劫持漏洞的修复办法
临近春节,某聚合支付平台被攻击篡改,导致客户提现银行卡信息被修改,支付订单被恶意回调,回调API接口的数据也被篡改,用户管理后台被任意登入,商户以及码商的订单被自动确认导致金额损失超过几十万,平台被攻击的彻底没办法了,通过朋友介绍,找到我们SINE安全公司寻求网站安全防护支持,针对客户支付通道并聚合支付网站目前发生被网站攻击,被篡改的问题,我们立即成立了网站安全应急响应小组,分析问题,找到漏洞根源,防止攻击篡改,将客户的损失降到最低。
616 0
支付平台目前订单状态被篡改 刷钱 劫持漏洞的修复办法
|
Web App开发 监控 安全
阿里云盾提醒网站被WebShell木马后门分析与对策
收到阿里云用户朋友的反馈,说运行了一年的网站突然遭到黑客的攻击,系统cpu一直保持在100%,有进程也干不掉,然后客户就进行杀毒了,然后就把所有的exe文件都杀了,然后系统也就很多功能不正常了
9618 0
网站漏洞修复 短息轰炸漏洞检测与修补方案
很多公司网站的被攻击,被篡改,都是存在着网站漏洞隐患的,也有很多客户找到我们SINE安全公司,对自己公司网站进行渗透测试服务,以及网站的安全检测,漏洞检测整体的安全服务,我们SINE安全在日常对客户网站进行安全渗透的同时,发现都存在着手机号任意发短信的漏洞,简单来讲就是短信轰炸漏洞。
1544 0
|
安全
卡巴提醒用户谨防利用新PowerPoint漏洞的攻击
卡巴斯基实验室特别提醒用户近期须注意利用微软Office的PowerPoint组件漏洞的网络攻击。  微软于4月2号在其官网发布了一个安全公告,该公告中声称发现微软office产品中的PowerPoint组件存在一个严重漏洞,该漏洞允许远程执行代码。
727 0
|
安全 数据库 数据安全/隐私保护
网站漏洞修复之图片验证码
在对网站安全进行整体的安全检测的时候,用户登陆以及用户留言,评论,设置支付密码,以及一些网站功能方面都会用到图片验证码,针对于验证码我们SINE安全对其进行了详细的网站安全检测,以及图片验证码安全防护方面,都会详细的跟大家讲解一下。
1858 0