ウェブサイトの脆弱性検出:ユーザーパスワード取得ウェブサイトの脆弱性のセキュリティ分析と活用

ウェブサイトの脆弱性検出:ユーザーパスワード取得ウェブサイトの脆弱性のセキュリティ分析と活用

2018年最もホットなプロジェクト:テレマーケティングロボットがあなたの参加を待っています

SINE Security がウェブサイトやアプリのセキュリティ チェックを実施していたところ、多くの企業のウェブサイト、ビジネス プラットフォーム、アプリに論理的なウェブサイトの脆弱性があることが分かりました。単純な SMS 認証コードが、ウェブサイト全体に大きな経済的損失をもたらす可能性があります。ユーザー パスワードの取得など、非常に単純なウェブサイト機能でも、セキュリティの質問への回答を回避したり、携帯電話番号を回避してユーザー アカウントのパスワードを直接変更したりすることができます。

SMS 爆弾や、ユーザーのパスワードを取得するための Web サイトの脆弱性に関して、これらの脆弱性を利用した攻撃を悪用し、防止する方法をお伝えしたいと思います。

顧客のウェブサイトでウェブサイトセキュリティテストを実施したときに発見したSMS爆弾の脆弱性を見てみましょう。顧客から、ウェブサイトに会員登録すると、確認コードのSMSメッセージが何度も繰り返し届き、送信を複数回クリックしても確認コードメッセージが複数届くという報告があったため、私たちSINE Securityはすぐに詳細なセキュリティテストを実施し、確かに問題を発見しました。確かに、会員登録時に複数のSMSメッセージが送信されました。送信データ、GET、POSTメソッドに対して複数のセキュリティテストを実施し、データを投稿する際に、smg値の後に任意のパラメータを任意に追加すると、ウェブサイトからユーザーの携帯電話に確認コードのSMSが送信される可能性があることを発見しました。無数のSMSメッセージが送信される可能性があります。攻撃者に悪用された場合、発生する損失は計り知れません。

今回発見されたSMS爆弾の脆弱性については、まずコードを分析しました。プログラマーが以前に書いたコードから、ユーザーログインプロセス中のコードには詳細なセキュリティフィルタリングがなく、ユーザー名とパスワードの入力後に確認コードが送信されることがわかります。また、プログラマーは設計プロセス中にテスト対象の携帯電話番号をデータベースに保存したため、テスト中に多くの一般ユーザーがSMS確認コードを受信しました。脆弱性のもう 1 つの原因は、プログラム コードで設計されている初期化パスワードが 123456 であるため、パスワードを取得またはリセットするときにデータベースに書き込まれることです。攻撃者は、データベースの衝突を利用して、ユーザーのパスワードを簡単に推測できます。

では、SMS 爆弾の脆弱性をどのように防ぐのでしょうか?

ウェブサイトのセキュリティとウェブサイトのセキュリティ展開の観点から、SMSプラットフォームは無数のテキストメッセージが送信されるのを防ぐことができます。 Alibaba CloudのSMSプラットフォームは、ユーザーの携帯電話に複数のテキストメッセージが送信されるのを防ぐことができるようになりました。 携帯電話番号は1日に5つのテキストメッセージしか受信できません。 もう一つの方法は、プログラムコード内のセキュリティを強化し、登録メンバーに対して判断を下すことです。 同じIPであれば、1つのテキストメッセージしか送信できません。ユーザーは、確認コードを取得するためにクリックする前にテキスト確認コードを入力し、送信する必要があります。テキスト メッセージを送信する間隔は 60 秒です。ウェブサイト全体のセキュリティテスト中、ウェブサイトの脆弱性スキャン、ウェブサイトの脆弱性の悪用、データベースの書き込みと削除、その他の重要な操作など、実行内容を事前にお客様に通知する必要があります。また、データベースのバックアップやウェブサイトのソースコードのバックアップなど、ウェブサイトデータの全体的なセキュリティバックアップを事前にお客様に通知して実行する必要があります。侵入テストでは、まずセキュリティ評価を実施し、全体的なセキュリティ テストがユーザーに何らかの影響や損失をもたらすかどうかを確認し、顧客の Web サイト アクセスやビジネスの正常な運用に影響を与えないように最善を尽くします。次の記事では、ユーザー パスワード取得の脆弱性の悪用と分析について説明します。

ソース

原題: ウェブサイトの脆弱性検出: ユーザーパスワード回復ウェブサイトの脆弱性のセキュリティ分析と活用

キーワード: ウェブサイトの脆弱性検出

<<:  2018 年 9 月のカンファレンスで発表される Apple のハードウェア製品が明らかに: MacBook と iPad Pro も含まれる!

>>:  モバイルモールシステムを構築する際にはどのような点に注意すべきでしょうか?

推薦する

Google、過剰なSEOサイトを取り締まるため検索ランキングアルゴリズムを更新

Google は最近、検索ランキング アルゴリズムの更新を発表しました。これは主に、「ブラック ハッ...

SEO について単純に考えれば考えるほど、難しくなります。

あっという間に 2 年が経ちました。この 2 年間で、私はもう若い学生ではなく、将来に傲慢な思いを抱...

饅頭が引き起こすマーケティング手法を考える

先週の土曜日、私は饅頭を買いに出かけ、友達の家の前を通りかかりました。私は店に入ってしばらく座って、...

インターネットマーケティングとトレンド

電子商取引は、20 世紀の新しい販売モデルです。名前が示すように、電子チャネルを通じてビジネス協力を...

張偉のブログが1週間以内にインデックスに追加された経緯

張偉のブログが作成されてから百度にインデックスされるまで、たった6日しかかかりませんでした。真実を示...

2016 年の ASO 最適化の新しいトレンド!

2016年の鐘が鳴りました。2015年を振り返ると、私たちはASOで戸惑い、怯え、迷ったかもしれませ...

limestonenetworks: 1Gbps の帯域幅、無制限のサーバー、月額 96 ドル、ロサンゼルス/ダラス

limestonenetworks は、2007 年に米国ダラスで設立されたサーバー ホスティング会...

ビッグデータとクラウドコンピューティングアーキテクチャ:柔軟で効率的なデータ処理プラットフォームの構築

デジタル時代の到来により、ビッグデータはあらゆる分野にとって重要なリソースになりました。しかし、ビッ...

budgetvm-Alipay/$9.99/Xen/2g メモリ/100g ハードディスク/4T トラフィック/2IP/4 コンピュータ ルーム

何百GBもの美しい写真が集まっているので、それをバックアップしてみんなと共有できる良い場所を見つけた...

regolithmedia - 48 台のコンピュータ ルーム/KVM 仮想 VPS/香港\シンガポール\インドネシア\オーストラリア

インドネシアで正式に登録された会社である regolithmedia は、2009 年に設立され、7...

SEOウェブサイト監査を開始する方法

誰もが SEO 監査に精通していますが、SEO 監査をうまく行う方法をご存知ですか? Google ...

四川省は1,000以上の未登録ウェブサイトを一掃し、42,000以上の登録記録を抹消した。

記者が四川省の関係部門から得た情報によると、国家インターネット情報局、工業情報化部など9つの省庁がイ...

破壊がなければ、建設はない。ファーウェイクラウドはEDGの勝利に貢献する

2021年11月6日夜、アイスランドの首都レイキャビクでスリリングな逆転劇が繰り広げられた。中国のE...

Semrush、Ahrefs、Moz の 3 つの SEO ツールのうちどれが優れているでしょうか?

私はこれら 3 つのツールをすべて使用しました。Mozは最も古いツールで、 2004 年にリリース...

メタバーストラック: 左にメタ、右にバイト

最近、バイトダンスのソーシャル戦略における「進退」がメディアから広く注目を集めている。一方、Tech...