ウェブサイトの脆弱性検出:ユーザーパスワード取得ウェブサイトの脆弱性のセキュリティ分析と活用

ウェブサイトの脆弱性検出:ユーザーパスワード取得ウェブサイトの脆弱性のセキュリティ分析と活用

2018年最もホットなプロジェクト:テレマーケティングロボットがあなたの参加を待っています

SINE Security がウェブサイトやアプリのセキュリティ チェックを実施していたところ、多くの企業のウェブサイト、ビジネス プラットフォーム、アプリに論理的なウェブサイトの脆弱性があることが分かりました。単純な SMS 認証コードが、ウェブサイト全体に大きな経済的損失をもたらす可能性があります。ユーザー パスワードの取得など、非常に単純なウェブサイト機能でも、セキュリティの質問への回答を回避したり、携帯電話番号を回避してユーザー アカウントのパスワードを直接変更したりすることができます。

SMS 爆弾や、ユーザーのパスワードを取得するための Web サイトの脆弱性に関して、これらの脆弱性を利用した攻撃を悪用し、防止する方法をお伝えしたいと思います。

顧客のウェブサイトでウェブサイトセキュリティテストを実施したときに発見したSMS爆弾の脆弱性を見てみましょう。顧客から、ウェブサイトに会員登録すると、確認コードのSMSメッセージが何度も繰り返し届き、送信を複数回クリックしても確認コードメッセージが複数届くという報告があったため、私たちSINE Securityはすぐに詳細なセキュリティテストを実施し、確かに問題を発見しました。確かに、会員登録時に複数のSMSメッセージが送信されました。送信データ、GET、POSTメソッドに対して複数のセキュリティテストを実施し、データを投稿する際に、smg値の後に任意のパラメータを任意に追加すると、ウェブサイトからユーザーの携帯電話に確認コードのSMSが送信される可能性があることを発見しました。無数のSMSメッセージが送信される可能性があります。攻撃者に悪用された場合、発生する損失は計り知れません。

今回発見されたSMS爆弾の脆弱性については、まずコードを分析しました。プログラマーが以前に書いたコードから、ユーザーログインプロセス中のコードには詳細なセキュリティフィルタリングがなく、ユーザー名とパスワードの入力後に確認コードが送信されることがわかります。また、プログラマーは設計プロセス中にテスト対象の携帯電話番号をデータベースに保存したため、テスト中に多くの一般ユーザーがSMS確認コードを受信しました。脆弱性のもう 1 つの原因は、プログラム コードで設計されている初期化パスワードが 123456 であるため、パスワードを取得またはリセットするときにデータベースに書き込まれることです。攻撃者は、データベースの衝突を利用して、ユーザーのパスワードを簡単に推測できます。

では、SMS 爆弾の脆弱性をどのように防ぐのでしょうか?

ウェブサイトのセキュリティとウェブサイトのセキュリティ展開の観点から、SMSプラットフォームは無数のテキストメッセージが送信されるのを防ぐことができます。 Alibaba CloudのSMSプラットフォームは、ユーザーの携帯電話に複数のテキストメッセージが送信されるのを防ぐことができるようになりました。 携帯電話番号は1日に5つのテキストメッセージしか受信できません。 もう一つの方法は、プログラムコード内のセキュリティを強化し、登録メンバーに対して判断を下すことです。 同じIPであれば、1つのテキストメッセージしか送信できません。ユーザーは、確認コードを取得するためにクリックする前にテキスト確認コードを入力し、送信する必要があります。テキスト メッセージを送信する間隔は 60 秒です。ウェブサイト全体のセキュリティテスト中、ウェブサイトの脆弱性スキャン、ウェブサイトの脆弱性の悪用、データベースの書き込みと削除、その他の重要な操作など、実行内容を事前にお客様に通知する必要があります。また、データベースのバックアップやウェブサイトのソースコードのバックアップなど、ウェブサイトデータの全体的なセキュリティバックアップを事前にお客様に通知して実行する必要があります。侵入テストでは、まずセキュリティ評価を実施し、全体的なセキュリティ テストがユーザーに何らかの影響や損失をもたらすかどうかを確認し、顧客の Web サイト アクセスやビジネスの正常な運用に影響を与えないように最善を尽くします。次の記事では、ユーザー パスワード取得の脆弱性の悪用と分析について説明します。

ソース

原題: ウェブサイトの脆弱性検出: ユーザーパスワード回復ウェブサイトの脆弱性のセキュリティ分析と活用

キーワード: ウェブサイトの脆弱性検出

<<:  2018 年 9 月のカンファレンスで発表される Apple のハードウェア製品が明らかに: MacBook と iPad Pro も含まれる!

>>:  モバイルモールシステムを構築する際にはどのような点に注意すべきでしょうか?

推薦する

クラウド プロバイダーが教えてくれないクラウド アーキテクチャの 3 つの秘密

ソリューションの効率を最大化し、コストを削減するにはどうすればよいでしょうか?最適化されたアーキテク...

究極のオンサイト最適化 - プラットフォーム検索マーケティングのROI限界を突破

検索エンジンにおける電子商取引プラットフォームのランキング、特にホームページの位置をめぐる競争は最も...

SEO担当者が競合他社に段階的に「対処」する方法

利益をめぐる競争があるところには、必然的に競争相手が存在します。巨大な商業価値を持つ大きなパイである...

百度の公式声明は、百度がまだ公式権限を持っているかどうか疑問視し続けている。

6月28日の事件と「ブラックフライデー」事件は、ウェブマスター界隈で大きな話題となった。この2日間、...

Qizhi Informationは、国内データサービスのアップグレードを支援する新しいクラウドネイティブデータベースXuanwuを立ち上げました。

2月28日、Kyligenceは、企業がデータプラットフォームのクラウド移行を加速し、国内のアップグ...

タオバオモールのTmallへの名称変更から百度とグーグルまで

2012年1月はインターネットにとって激動の月でした。ユーザーの厳しい要求がユーザーエクスペリエンス...

エッジコンピューティング + モノのインターネットはどのような火花を散らすのでしょうか?

エッジコンピューティング + IoT クラウド プラットフォームは、大手企業間の強力な協力のハイライ...

知っておくべき医療におけるエッジコンピューティングの 5 つのユースケース

ヘルスケア業界は、必ずしも IT インフラストラクチャの最新のイノベーションと関連しているわけではあ...

3年間の運営経験: タオバオSEOランキング最適化のヒント

1. キーワードの選択2. タイトルデザインとキーワードの組み合わせ3. 画期的なキーワードを特定す...

chicagovps 3g メモリ/80g ハードディスク/2t トラフィック/2ip $48/年または $6.93/月

chicagovps は、LEB の 5 周年を記念して、LEB のために別の特別なトリビュートを用...

FinOps 面接で答えるべき 9 つの質問

FinOps は重要な機能へと進化しています。企業では、専任の FinOps 担当者を採用するケース...

さまざまなロゴタイプから選択するにはどうすればいいですか? LOGO Design Networkは適切なロゴのデザインをお手伝いします

2018年最もホットなプロジェクト:テレマーケティングロボットがあなたの参加を待っていますLOGO ...

新しい消費者保護法により、オンラインショッピングの返品手続きが困難に。オンラインストアは依然として理由のない返品は受け付けないとしている。

新華網長春5月3日(記者 趙孟卓)新しい消費者保護法が施行されて1か月以上が経過した。多くのオンライ...

IoT、エッジコンピューティング、AIプロジェクトが企業にもたらす利益

[[385209]]ビル・ホームズは、象徴的なフェンダー・ストラトキャスターとテレキャスターのギター...