2018年最もホットなプロジェクト:テレマーケティングロボットがあなたの参加を待っています SINE Security がウェブサイトやアプリのセキュリティ チェックを実施していたところ、多くの企業のウェブサイト、ビジネス プラットフォーム、アプリに論理的なウェブサイトの脆弱性があることが分かりました。単純な SMS 認証コードが、ウェブサイト全体に大きな経済的損失をもたらす可能性があります。ユーザー パスワードの取得など、非常に単純なウェブサイト機能でも、セキュリティの質問への回答を回避したり、携帯電話番号を回避してユーザー アカウントのパスワードを直接変更したりすることができます。 SMS 爆弾や、ユーザーのパスワードを取得するための Web サイトの脆弱性に関して、これらの脆弱性を利用した攻撃を悪用し、防止する方法をお伝えしたいと思います。 顧客のウェブサイトでウェブサイトセキュリティテストを実施したときに発見したSMS爆弾の脆弱性を見てみましょう。顧客から、ウェブサイトに会員登録すると、確認コードのSMSメッセージが何度も繰り返し届き、送信を複数回クリックしても確認コードメッセージが複数届くという報告があったため、私たちSINE Securityはすぐに詳細なセキュリティテストを実施し、確かに問題を発見しました。確かに、会員登録時に複数のSMSメッセージが送信されました。送信データ、GET、POSTメソッドに対して複数のセキュリティテストを実施し、データを投稿する際に、smg値の後に任意のパラメータを任意に追加すると、ウェブサイトからユーザーの携帯電話に確認コードのSMSが送信される可能性があることを発見しました。無数のSMSメッセージが送信される可能性があります。攻撃者に悪用された場合、発生する損失は計り知れません。 今回発見されたSMS爆弾の脆弱性については、まずコードを分析しました。プログラマーが以前に書いたコードから、ユーザーログインプロセス中のコードには詳細なセキュリティフィルタリングがなく、ユーザー名とパスワードの入力後に確認コードが送信されることがわかります。また、プログラマーは設計プロセス中にテスト対象の携帯電話番号をデータベースに保存したため、テスト中に多くの一般ユーザーがSMS確認コードを受信しました。脆弱性のもう 1 つの原因は、プログラム コードで設計されている初期化パスワードが 123456 であるため、パスワードを取得またはリセットするときにデータベースに書き込まれることです。攻撃者は、データベースの衝突を利用して、ユーザーのパスワードを簡単に推測できます。 では、SMS 爆弾の脆弱性をどのように防ぐのでしょうか? ウェブサイトのセキュリティとウェブサイトのセキュリティ展開の観点から、SMSプラットフォームは無数のテキストメッセージが送信されるのを防ぐことができます。 Alibaba CloudのSMSプラットフォームは、ユーザーの携帯電話に複数のテキストメッセージが送信されるのを防ぐことができるようになりました。 携帯電話番号は1日に5つのテキストメッセージしか受信できません。 もう一つの方法は、プログラムコード内のセキュリティを強化し、登録メンバーに対して判断を下すことです。 同じIPであれば、1つのテキストメッセージしか送信できません。ユーザーは、確認コードを取得するためにクリックする前にテキスト確認コードを入力し、送信する必要があります。テキスト メッセージを送信する間隔は 60 秒です。ウェブサイト全体のセキュリティテスト中、ウェブサイトの脆弱性スキャン、ウェブサイトの脆弱性の悪用、データベースの書き込みと削除、その他の重要な操作など、実行内容を事前にお客様に通知する必要があります。また、データベースのバックアップやウェブサイトのソースコードのバックアップなど、ウェブサイトデータの全体的なセキュリティバックアップを事前にお客様に通知して実行する必要があります。侵入テストでは、まずセキュリティ評価を実施し、全体的なセキュリティ テストがユーザーに何らかの影響や損失をもたらすかどうかを確認し、顧客の Web サイト アクセスやビジネスの正常な運用に影響を与えないように最善を尽くします。次の記事では、ユーザー パスワード取得の脆弱性の悪用と分析について説明します。 ソース 原題: ウェブサイトの脆弱性検出: ユーザーパスワード回復ウェブサイトの脆弱性のセキュリティ分析と活用 キーワード: ウェブサイトの脆弱性検出 |
<<: 2018 年 9 月のカンファレンスで発表される Apple のハードウェア製品が明らかに: MacBook と iPad Pro も含まれる!
>>: モバイルモールシステムを構築する際にはどのような点に注意すべきでしょうか?
ソリューションの効率を最大化し、コストを削減するにはどうすればよいでしょうか?最適化されたアーキテク...
検索エンジンにおける電子商取引プラットフォームのランキング、特にホームページの位置をめぐる競争は最も...
利益をめぐる競争があるところには、必然的に競争相手が存在します。巨大な商業価値を持つ大きなパイである...
6月28日の事件と「ブラックフライデー」事件は、ウェブマスター界隈で大きな話題となった。この2日間、...
2月28日、Kyligenceは、企業がデータプラットフォームのクラウド移行を加速し、国内のアップグ...
2012年1月はインターネットにとって激動の月でした。ユーザーの厳しい要求がユーザーエクスペリエンス...
エッジコンピューティング + IoT クラウド プラットフォームは、大手企業間の強力な協力のハイライ...
ヘルスケア業界は、必ずしも IT インフラストラクチャの最新のイノベーションと関連しているわけではあ...
1. キーワードの選択2. タイトルデザインとキーワードの組み合わせ3. 画期的なキーワードを特定す...
chicagovps は、LEB の 5 周年を記念して、LEB のために別の特別なトリビュートを用...
FinOps は重要な機能へと進化しています。企業では、専任の FinOps 担当者を採用するケース...
2018年最もホットなプロジェクト:テレマーケティングロボットがあなたの参加を待っていますLOGO ...
IDC の最新版「Worldwide Semiannual Public Cloud Service...
新華網長春5月3日(記者 趙孟卓)新しい消費者保護法が施行されて1か月以上が経過した。多くのオンライ...
[[385209]]ビル・ホームズは、象徴的なフェンダー・ストラトキャスターとテレキャスターのギター...