type
date
status
slug
summary
tags
category
password
icon
今天介绍一种最容易被黑产利用的漏洞—短信轰炸漏洞。
短信轰炸:就是在某一段时间内频繁接收到各类短信,干扰到了正常手机使用,主要是影响心情。同理可得,其实还有电话轰炸、社交网络软件信息的轰炸(例如你被频繁加好友)等等......
漏洞原理:造成短信轰炸漏洞的原因其实是由于某些网络服务的发送短信验证码的接口存在安全风险(例如可以被任意外部调用、可以被多次高频发送)而被攻击者利用。市面上常见的“短信轰炸机”软件,就是黑产通过封装大量的存在此漏洞的接口来提供“短信测压力”服务。就像下图所示的这种:
漏洞影响:
对用户的影响:
- 用户体验差,频繁受到骚扰;
- 会让用户产生担心“账户是否被盗用”;
对企业的影响:
- 资金损失,由于被外部黑产频繁调用浪费短信使用量进而造成资金损失;
- 法律风险,企业被大量投诉造成监管压力和对用户隐私保护的相关法律风险;
- 影响企业形象,企业由于不够重视安全方面的投入来导致用户的不满,造成企业形象丢失;
如下图对某公司名称直接搜索,排名第2的就是在问为什么XX公司一直发验证码(ps:搜索广告除外)
漏洞如何修复:
- 对于输入的手机号进行加密并作校验,防止通过一次抓包,任意修改手机号码调用接口;
- 对于针对发短信接口并发请求,在底层增加并发短信的限制;
- 获取短信验证码处最好增加验证码验证(例如滑块验证),防止黑产可以批量调用接口;
- 对同一手机号倒计时处理,在一定时间内不允许多次发送;
- 增加同一ip地址发送限制,防止恶意发送(更换手机号发送);
- 兜底方案:根据每月平均发送量,设置全局阈值,防止大规模动态ip和破解常规验证码后的损失,及时报警并根据log信息处理,e.g:目前累计发送了3w条,每月大约1w条,可以先设置一个季度的量6~7w条的阈值,距离阈值1w条发送预警可以手动调整,如果未触发预警,季度最后一周自动增加3w条数量等手段。
漏洞挖掘技巧:
低效的常规挖掘思路:
- 对某企业展开漏洞挖掘,先确定该企业有哪些验证码服务,这些服务都在哪些平台(APP、小程序、公众号)被使用。
- 找到服务后,抓包分析这些接口是否存在加固,调用接口是否需要登录凭证以及这些接口能否构造利用,是否存在发送频率限制等等...... 可以参考文章开头的案例。
快速挖掘思路(推荐):
- 可以通过使用市面上的各类短信轰炸软件,输入测试的手机号,等待查看效果。就可以知道存在该企业的短信服务接口被利用,而这些接口可能就会存在短信轰炸漏洞。
- 通过对该黑产软件进行抓包或逆向分析,找到利用的接口具体是什么样子的,是否能够构造利用,是否可以通过并发请求达到短时间获取多次验证码。
如下图,通过对市面上黑产开发的“短信轰炸机”软件反编译分析,可以看到内置了很多企业的短信验证码发送接口:
通过对接口进行拼接测试,就可以快速发现其他企业是否存在短信轰炸漏洞:
通过以上方式发现的漏洞就可以通过该企业的安全响应平台进行漏洞上报。若漏洞被确认,就会进行漏洞定级与奖励发放。一般搜索“该企业名称”+SRC/安全应急响应中心,例如:
普通用户如何保护自己
- 对无关短信号码进行屏蔽、忽略短信内容,不要有任何回复或点击链接等操作,以免被诈骗;
- 联系三大运营商客服,启用“应急通讯保障”服务;
- 如果能确认是哪个平台,可以进行相关投诉反馈。例如以下两个举报平台,大家如果有更好的方式欢迎评论区反馈。
违法和不良信息举报中心 (12377.cn)
互联网信息服务投诉平台 (isc.org.cn)
企业如何进行内部安全建设
- 加强外部反馈:企业可以通过建立用户反馈渠道,对用户举报进行针对性处理,有能力的且还可以自建SRC收集外部白帽子反馈的漏洞情报;
- 主动发现风险:除了对外部上报的漏洞进行处理,甲方企业在安全建设时,可以先盘点业务接口情况再逐一验证的方法。也可以通过文中提到的漏洞挖掘类似思路,利用黑灰产提供的软件及服务来快速发现自身存在的薄弱之处。
最后但bu重要的:辛苦点个赞再走?Thanks♪(・ω・)ノ