事件背景:
平时大家在一些验证和网银支付时候收到“验证码”,比如我们更换了手机,重新登陆支付宝App时,为了保障账户安全,支付宝平台会要求进行输入短信验证码是很平常的事情。
然而,凌晨,手机在几分钟几百条的“验证码”攻击,被吵醒,你还能忍受吗! 是不是想要打人了。
这不是故事,这是发生在朋友身上的事情。
李某,程序员,凌晨收到上百条来自ISC的短信验证码,一时很惊讶,自己不熟悉什么isc会议,也不会参加,这才反应过来,这是被人恶意骚扰了。而且第二天又收到了好几次短信轰炸。搞得人莫名的烦躁。
![图片[1]-手机遭受360ISC 短信验证码轰炸的思考? – 作者:eisoo021-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210721/1626832358_60f77de6495a4b12d5956.jpg)
调查分析:
在360官网发现了isc的广告链接,2021年7.27-29日举办会议。
![图片[2]-手机遭受360ISC 短信验证码轰炸的思考? – 作者:eisoo021-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210721/1626832655_60f77f0f69c9863583f35.jpg)
我们就进一步确认,看那些地方可以发出此类恶心的短信验证码。
https://isc.360.com/2021/events/isc.html的购票平台,点击购票,然后发现
![图片[3]-手机遭受360ISC 短信验证码轰炸的思考? – 作者:eisoo021-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210721/1626832707_60f77f432a5406e486da0.jpg)
点“立即购票”,跳转到
http://isc2021.haoshuzx.com/buy.html短信验证码平台 没有采取任何的安全校验和策略,存在短信验证码轰炸漏洞,恶意利用。漏洞确实存在。
测试一波,疗效与攻击者的轰炸效果相同,手机上收到了验证码。
![图片[4]-手机遭受360ISC 短信验证码轰炸的思考? – 作者:eisoo021-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210721/1626832813_60f77faddd49fde840de6.jpg)
原因是这里没有任何的校验,可以任意无限制发验证码。
GET /api/sms/sendVerifyCode?callback=jQuery33105721673681861341_1625023654504&uid=b86def726cb0238bdad11c739b05fc63&channel=&phone=§188010478478§&_=1625023654506 HTTP/1.1 Host: isc2021.haoshuzx.com Accept: text/javascript, application/javascript, application/ecmascript, application/x-ecmascript, */*; q=0.01 X-Requested-With: XMLHttpRequest User-Agent: Mozilla/5.0 (JB360; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/90.0.4430.212 Safari/537.36 Content-Type: application/json;charset=utf-8 Referer: http://isc2021.haoshuzx.com/buy.html Accept-Encoding: gzip, deflate Accept-Language: zh-CN,zh;q=0.9 Cookie: Hm_lvt_4f239080fc28be084d90b03a76f2c64c=2625023639; loginUid=cao86def726cb0238bdad11c739b05fc63; orderInfos=%7B%22items%22%3A%5B%7B%22ticketId%22%3A%221%22%2C%22name%22%3A%22VVIP%E8%B4%B5%E5%AE%BE%E7%A5%A8%22%2C%22num%22%3A%221%22%2C%22type%22%3A%221%22%2C%22amt%22%3A%224740.00%22%7D%5D%2C%22orderAmt%22%3A%224740.00%22%7D; Hm_lpvt_4f235080fc28be084d90b03a76f2c64c=16250236678 Connection: close
二话不说,上burp:
![图片[5]-手机遭受360ISC 短信验证码轰炸的思考? – 作者:eisoo021-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210721/1626833087_60f780bf227592439e8d4.jpeg)
可以任意无限制的对任何号段群发验证码。
第一时间反馈给360多个安全团队,360的安全应急响应团队,两周多了均无任何响应。
朋友还是会偶尔被短信验证码轰炸,不得已,反馈给360的客服团队,两小时后得到反馈。
![图片[6]-手机遭受360ISC 短信验证码轰炸的思考? – 作者:eisoo021-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210721/1626833323_60f781abd707c03c3703a.jpg)
还是360客服比较有效率,又过了一个周,程序员基本敷衍性质的修复,能够勉强起到一点作用。
从此,安静了一些。
细心的朋友一定会发现,购票页面的url不是360.com结尾,http://isc2021.haoshuzx.com/ 这个域名信息是一个 “个人”,备案信息也是“个人”。 姓名为 “杨东先”。网站名称:好书网。
![图片[7]-手机遭受360ISC 短信验证码轰炸的思考? – 作者:eisoo021-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210721/1626833518_60f7826e8e27ea6e49928.jpg)
开始还以为是被钓鱼,后来确认确实是360的在用。
遇到短信验证码被恶意轰炸利用怎么解决?
发送短信接口是最容易被盗刷的接口,不法分子利用接口的漏洞,任意的发送短信,给企业造成直接的经济损失。因此这个要特别注意,主要防御手段有四:
(一)同一个手机号限制每日发送短信条数;
(二)限制发送短信间隔,通常限制是 60秒,在客户端设置60秒倒计时没什么用,在服务端也要做;
(三)给接口加签名验证增加破解接口的难度。
(四)限制ip日发送短信条数
来源:freebuf.com 2021-07-21 10:19:00 by: eisoo021
请登录后发表评论
注册