ウェブサイトの脆弱性検出：ユーザーパスワード取得ウェブサイトの脆弱性のセキュリティ分析と活用

2018年最もホットなプロジェクト：テレマーケティングロボットがあなたの参加を待っています

SINE Security がウェブサイトやアプリのセキュリティ チェックを実施していたところ、多くの企業のウェブサイト、ビジネス プラットフォーム、アプリに論理的なウェブサイトの脆弱性があることが分かりました。単純な SMS 認証コードが、ウェブサイト全体に大きな経済的損失をもたらす可能性があります。ユーザー パスワードの取得など、非常に単純なウェブサイト機能でも、セキュリティの質問への回答を回避したり、携帯電話番号を回避してユーザー アカウントのパスワードを直接変更したりすることができます。

SMS 爆弾や、ユーザーのパスワードを取得するための Web サイトの脆弱性に関して、これらの脆弱性を利用した攻撃を悪用し、防止する方法をお伝えしたいと思います。

顧客のウェブサイトでウェブサイトセキュリティテストを実施したときに発見したSMS爆弾の脆弱性を見てみましょう。顧客から、ウェブサイトに会員登録すると、確認コードのSMSメッセージが何度も繰り返し届き、送信を複数回クリックしても確認コードメッセージが複数届くという報告があったため、私たちSINE Securityはすぐに詳細なセキュリティテストを実施し、確かに問題を発見しました。確かに、会員登録時に複数のSMSメッセージが送信されました。送信データ、GET、POSTメソッドに対して複数のセキュリティテストを実施し、データを投稿する際に、smg値の後に任意のパラメータを任意に追加すると、ウェブサイトからユーザーの携帯電話に確認コードのSMSが送信される可能性があることを発見しました。無数のSMSメッセージが送信される可能性があります。攻撃者に悪用された場合、発生する損失は計り知れません。

今回発見されたSMS爆弾の脆弱性については、まずコードを分析しました。プログラマーが以前に書いたコードから、ユーザーログインプロセス中のコードには詳細なセキュリティフィルタリングがなく、ユーザー名とパスワードの入力後に確認コードが送信されることがわかります。また、プログラマーは設計プロセス中にテスト対象の携帯電話番号をデータベースに保存したため、テスト中に多くの一般ユーザーがSMS確認コードを受信しました。脆弱性のもう 1 つの原因は、プログラム コードで設計されている初期化パスワードが 123456 であるため、パスワードを取得またはリセットするときにデータベースに書き込まれることです。攻撃者は、データベースの衝突を利用して、ユーザーのパスワードを簡単に推測できます。

では、SMS 爆弾の脆弱性をどのように防ぐのでしょうか?

ウェブサイトのセキュリティとウェブサイトのセキュリティ展開の観点から、SMSプラットフォームは無数のテキストメッセージが送信されるのを防ぐことができます。 Alibaba CloudのSMSプラットフォームは、ユーザーの携帯電話に複数のテキストメッセージが送信されるのを防ぐことができるようになりました。 携帯電話番号は1日に5つのテキストメッセージしか受信できません。 もう一つの方法は、プログラムコード内のセキュリティを強化し、登録メンバーに対して判断を下すことです。 同じIPであれば、1つのテキストメッセージしか送信できません。ユーザーは、確認コードを取得するためにクリックする前にテキスト確認コードを入力し、送信する必要があります。テキスト メッセージを送信する間隔は 60 秒です。ウェブサイト全体のセキュリティテスト中、ウェブサイトの脆弱性スキャン、ウェブサイトの脆弱性の悪用、データベースの書き込みと削除、その他の重要な操作など、実行内容を事前にお客様に通知する必要があります。また、データベースのバックアップやウェブサイトのソースコードのバックアップなど、ウェブサイトデータの全体的なセキュリティバックアップを事前にお客様に通知して実行する必要があります。侵入テストでは、まずセキュリティ評価を実施し、全体的なセキュリティ テストがユーザーに何らかの影響や損失をもたらすかどうかを確認し、顧客の Web サイト アクセスやビジネスの正常な運用に影響を与えないように最善を尽くします。次の記事では、ユーザー パスワード取得の脆弱性の悪用と分析について説明します。

ソース

原題: ウェブサイトの脆弱性検出: ユーザーパスワード回復ウェブサイトの脆弱性のセキュリティ分析と活用

キーワード: ウェブサイトの脆弱性検出