网站漏洞修复 短息轰炸漏洞检测与修补方案

简介: 很多公司网站的被攻击,被篡改,都是存在着网站漏洞隐患的,也有很多客户找到我们SINE安全公司,对自己公司网站进行渗透测试服务,以及网站的安全检测,漏洞检测整体的安全服务,我们SINE安全在日常对客户网站进行安全渗透的同时,发现都存在着手机号任意发短信的漏洞,简单来讲就是短信轰炸漏洞。

很多公司网站的被攻击,被篡改,都是存在着网站漏洞隐患的,也有很多客户找到我们SINE安全公司,对自己公司网站进行渗透测试服务,以及网站的安全检测,漏洞检测整体的安全服务,我们SINE安全在日常对客户网站进行安全渗透的同时,发现都存在着手机号任意发短信的漏洞,简单来讲就是短信轰炸漏洞。尤其一些商城网站,平台网站,会员注册类型的网站都会使用手机号注册,以及微信注册,邮箱地址注册,这样做,方便大部分的用户可以快速的注册账号,登录网站使用。
timg
那么在快捷,方便的需求下,网站的漏洞就会被忽视,从而被攻击者利用并进行恶意攻击,同行之家的竞争等等,都可以使用短信轰炸漏洞来使对方造成严重的损失。从公司方面来看问题,发送一条注册的短信验证码就会向短信提供商收取一定的费用,虽然目前一条短信可能几分钱,如果网站存在短信轰炸漏洞,那么被攻击者利用就可以造成很大的损失,也给网站的用户带来了很大的影响。
当网站出现短信轰炸漏洞的时候用户会觉得这个网站给他带来了骚扰,不停的发送短信,让用户反感至极。那么如何检测网站存在这个业务逻辑漏洞呢?

首先我们要从网站的各项功能上去渗透测试,安全测试,一般网站存在的功能是:会员账号注册功能,忘记密码找回功能上,会员绑定手机邮箱功能,设置取款密码使用手机验证,或者是某项重要的操作,提现,充值等功能上需要手机短信验证码,再一个是网站活动领取奖品功能上。我们来现场测试演练一下看看:
1_2_
我们在用户注册功能里进行渗透测试,填好手机号点击注册,然后抓包数据,将截获到的POST数据包进行修改,不停的发送同样的POST数据到网站后端,如果手机号不停的收到短信,那么就可以证明网站存在短信轰炸漏洞。如下图:
2_2_
关于短信轰炸漏洞的修复方案与办法

在网站代码端限制用户同一IP,一分钟提交POST的次数与频率,也可以对同一手机号进行1分钟获取一次短信的限制,如果发送量大对该IP进行禁止访问。再一个根据客户网站的实际情况设置发送短信的频率,与手机号绑定。另外一种防护办法就是设计上验证码发送短信,每次提交获取短信都要输入一次正确的图文验证码。如果图方便也可以是用随机的token进行安全过滤,每个客户提交的token值都不一样,与服务器后端进行token比对。以上就是关于网站漏洞修复的方案与办法,如果您对网站漏洞修复不是太懂的话,也可以找专业的网站安全公司处理,国内SINESAFE,启明星辰,绿盟都是比较不错的安全公司,对网站的漏洞检测与渗透测试一定要人工的去检测,才能确切的发现网站存在的问题,知彼知己,才能将网站安全做到最大化。

相关文章
|
6月前
|
SQL 云安全 安全
常见的web漏洞,网站漏洞该怎么办
随着互联网的发展,网站安全成为企业和个人关注焦点,尤其网站漏洞可能导致数据泄露、系统崩溃等严重后果。本文介绍了四种常见网站漏洞:XSS、SQL注入、文件包含和CSRF,以及它们的危害。为解决这些问题,建议加强代码审查、输入验证、使用安全API和库、访问控制等措施。此外,德迅云安全的漏洞扫描VSS服务可在Web漏洞扫描、弱密码扫描和中间件扫描等场景中发挥作用,帮助企业及时发现并处理安全问题,保障网站安全。
|
安全 前端开发 JavaScript
|
人工智能 供应链 监控
【墨菲安全漏洞预警】livehelperchat < 3.9.6 存在 SSRF 漏洞
【墨菲安全漏洞预警】livehelperchat < 3.9.6 存在 SSRF 漏洞
【墨菲安全漏洞预警】livehelperchat < 3.9.6 存在 SSRF 漏洞
|
安全 算法 测试技术
网站安全测试之支付漏洞检测与修复
前几篇的网站安全检测的文章,介绍的都是跟验证码以及用户逻辑功能方面的安全测试与防攻击方法,今天给大家深度的来剖析一下关于网站里含有支付接口的安全漏洞。许多商城网站,以及微信支付网站,在线游戏平台,发卡商,棋牌等网站都含有支付功能,支付安全是整个网站中,安全占比较高的,支付安全出了问题,带来的可是无法估量的损失。
2440 0
|
安全 测试技术 网络安全
网站渗透测试服务之短信轰炸漏洞挖掘与修复
很多公司网站的被攻击,被篡改,都是存在着网站漏洞隐患的,也有很多客户找到我们SINE安全公司,对自己公司网站进行渗透测试服务,以及网站的安全检测,漏洞检测整体的安全服务,我们SINE安全在日常对客户网站进行安全渗透的同时,发现都存在着手机号任意发短信的漏洞,简单来讲就是短信轰炸漏洞。尤其一些商城网站,平台网站,会员注册类型的网站都会使用手机号注册,以及微信注册,邮箱地址注册,这样做,方便大部分的用户可以快速的注册账号,登录网站使用。
1041 1
网站渗透测试服务之短信轰炸漏洞挖掘与修复
|
SQL 安全 前端开发
PHP网站漏洞修复公司对于业务漏洞的修复
最近,我们公司的在线业务系统遇到了一个更为棘手的问题。该公司的网站在线商城系统遭到黑客的入侵,数据库中的用户数据被黑客盗取。由于大部分的客户信息的泄露,公司接到了客户投诉说是电话经常被骚扰,以及受到广告短信。由于缺乏专业的安全技术没有安全方面的经验,PHP系统仅限于功能的实现。看来我需要学习安全方面的一些防止SQL注入攻击的,所以我必须下定决心,努力学习网站的安全。通过不断的探索,我找到了一个比较好的PHP安全方面的书籍“PHP安全之路”。在阅读的过程中,我会把学到的东西记下来,以便将来可以进行学习回忆。
243 0
|
存储 SQL 安全
网站安全渗透测试服务 OA办公系统越权漏洞检测与修复
渗透测试服务,是甲方授权乙方安全公司对自身的网站,以及APP,办公系统进行的全面人工安全渗透,对漏洞的检测与测试,包括SQL注入漏洞,XSS存储漏洞,反射漏洞,逻辑漏洞,越权漏洞,我们SINE安全公司在进行渗透测试前,是需要甲方公司的授权才能进行,没有授权的渗透以及网站漏洞测试在法律上来讲是违法的,非法渗透带来的一切责任与后果,要自行承担,需要渗透测试服务的一定要找正规的安全公司来做,以防上当。前段时间我们SINE安全公司,收到甲方公司的渗透测试ORDER,对公司使用的OA办公系统进行全面的安全检测,与漏洞测试,针对前期我们做的一些准备,与测试内容,我们来详细跟大家分享一下渗透测试的过程。
502 0
网站安全渗透测试服务 OA办公系统越权漏洞检测与修复
|
SQL 安全 数据可视化
MetInfo最新网站漏洞如何修复以及网站安全防护
齐博cms整站系统,是目前建站系统用的较多的一款CMS系统,开源,免费,第三方扩展化,界面可视化的操作,使用简单,便于新手使用和第二次开发,受到许多站长们的喜欢。开发架构使用的是php语言以及mysql数据库,强大的网站并发能力。于近日,我们SINE安全公司发现齐博cms又爆出高危的sql注入漏洞,关于该网站漏洞的详情,我们来详细的分析漏洞的产生以及如何利用。
209 0
MetInfo最新网站漏洞如何修复以及网站安全防护
|
安全 Windows 网络安全
高危预警|RDP漏洞或引发大规模蠕虫爆发,用户可用阿里云免费检测服务自检,建议尽快修复
阿里云安全中心免费提供服务器漏洞检测,支持Windows和Linux漏洞检测,支持云上主机和线下机房服务器的安全检测,助力企业做好安全预防。
6247 0
|
安全 Windows
重要通知 | Windows系统高危漏洞修复方案
4月14日,境外黑客组织公开了一份包含多个Windows远程漏洞利用工具的机密文档。为确保云上用户的业务安全,阿里云在4月15日早上九点半发布了漏洞公告及修补措施,以确保用户不受漏洞影响。
7454 0