网站短信注册的安全之忧

原创 2004年09月02日 19:22:00

网站短信注册的安全之忧

 

时下很多网站都提供了短信注册的功能,用户只要注册,便可以享受网站提供的各种收费(或者免费,极少)短信信息服务。当然,注册的过程是免费和快捷的,但是我却发现很多网站在提供用户注册的时候省略了一些重要的步骤,造成了严重的安全隐患。看看下面这是某个网站提供的注册手续,真是“快捷”啊!

可被攻击的注册方式

分析一下这个网页的源代码(提交表单部分):

提交表单

熟悉表单操作的读者应该能看懂当我提交表单的时候会向服务器发送些什么东西:使用HTTP协议的POST方法向服务器提交一个表单,处理这个表单的服务器程序是的一个asp程序,提交的数据只有两个,电话号码,和确认(在HTTP头中也许有额外的cookie信息)。没有其它的任何辅助认证手段,就可以输入一个手机号码,然后就可以向这个手机号码发送一条短信。

现在设想这样的情况:我使用一个程序,它来代替我向这个服务器发送一个HTTPPOST消息,然后提交它需要的发送短信的足够的数据,那么这个服务器就会向指定号码的手机发送一条短信。如果我建立一个数据库,里面有多达上百个可以来发送短信的服务器地址和数据,然后我重复的做这种操作1000次(甚至更多),所有的短信都发送到一个手机上!用户一下子会接收到几千甚至上万条短信,他的手机还能用吗?!

不要觉得这是不可能做到的事情,我轻松的在网上搜索了一下,就发现很多网站注册短信就是通过这样不甚严格的方式进行注册。我记录下其中的一些建立了一个小型数据库,然后编写一个调用这个数据库来发短消息程序。(程序界面截图如下:)

程序界面

 

指定号码在短时间内就收到了大量的垃圾短信!

如果我的数据库够大,那么情况将更加恶劣了!

能出现这种程序的原因无非就是一些注册网站在注册的时候图省事,不做严格的检测控制,使得机械式的程序也能做这样的事!

希望各移动运营商在允许网站提供类似服务的时候,要求网站必须提供更为严密的检测措施!比如下面的这种必须输入随即验证码的认证方式就可以让这

种攻击一筹莫展(选取新浪的短信注册页面,新浪拥有此图片版权)

 sina注册

希望大家通过mail和我联系,也可以向我索取该攻击程序以及源代码。

tigger_211@sina.com

防止恶意攻击短信验证码接口方法

防止恶意攻击短信验证码接口方法、短信运营商调研选型
  • xinxin19881112
  • xinxin19881112
  • 2017年07月12日 16:46
  • 3340

仿照支付宝等——自动获取短信中的验证码

仿照淘宝支付宝等,自动获取服务器端fang
  • LuckChouDog
  • LuckChouDog
  • 2014年11月17日 12:11
  • 1326

防止恶意频繁发送短信验证码

短信接口验证码是网站,App,微信端校验用户手机号码真实性的首要途径,在为用户提供便利的同时,手机短信验证功能也会被部分用户进行恶意使用。恶意频繁发送短信验证码,不仅会增加公司的运营成本,增加系统负载...
  • joshua1830
  • joshua1830
  • 2016年06月29日 09:58
  • 6369

短信验证码URL收集

https://my.zto.com/account/register http://ec.yto.net.cn/register.htm http://q1.sto.cn/reg/registe...
  • china_jeffery
  • china_jeffery
  • 2017年11月27日 21:46
  • 250

验证码短信接口受到恶意调用

验证码短信接口受到恶意调用
  • sir051223
  • sir051223
  • 2016年08月15日 20:49
  • 2591

ASP.net通过http调用验证码短信接口源码

通过验证码短信http调用接口,您可以很快速的在网站或者app中集成手机号验证功能,该源码只是核心代码,具体可以根据您的实际需求进行扩展。 该DEMO是ASP.net通过http调用验证码短信接口源码...
  • GUYSGO
  • GUYSGO
  • 2015年03月11日 18:09
  • 1723

短信验证码接口被恶意攻击怎么办?

短信接口验证码通常用于电商、手机APP、网上银行、社交论坛等互联网行业,通过短信验证码进行身份二次验证,确保用户身份真实有效。但是,最近有很多用户莫名收到各类注册短信、验证短信等,技术人员排查,发现是...
  • archer119
  • archer119
  • 2016年11月29日 21:16
  • 2022

JAVA利用第三方平台发送短信验证码。

前段时间自己做的一个小项目中,涉及到用短信验证码登录、注册的问题,之前没涉及过这一块,看了别人的博客其实也是似懂非懂的,现在就将自己做的利用第三方短信平台来发送验证码这个功能记下来。 本文以注册...
  • zxllynu
  • zxllynu
  • 2017年12月03日 23:48
  • 133

网络时代如何尽量保证自己不被骗?(二)一个诈骗短信的例子

网络时代如何尽量保证自己不被骗?(二)另一个诈骗短信的例子来自106901573628的短信:【支付宝】XXX用户感谢您的一路支持,回馈老用户荣获35元红包,24小时内登录支付宝钱包http://dw...
  • chroming
  • chroming
  • 2015年10月16日 21:51
  • 1421

ASP通过http调用验证码短信接口源码

通过验证码短信http调用接口,您可以很快速的在网站或者app中集成手机验证及订单通知类短信功能,该源码只是核心代码,具体可以根据您的实际需求进行扩展。...
  • GUYSGO
  • GUYSGO
  • 2015年03月06日 17:26
  • 948
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:网站短信注册的安全之忧
举报原因:
原因补充:

(最多只允许输入30个字)