网站短信注册的安全之忧

原创 2004年09月02日 19:22:00

网站短信注册的安全之忧

 

时下很多网站都提供了短信注册的功能,用户只要注册,便可以享受网站提供的各种收费(或者免费,极少)短信信息服务。当然,注册的过程是免费和快捷的,但是我却发现很多网站在提供用户注册的时候省略了一些重要的步骤,造成了严重的安全隐患。看看下面这是某个网站提供的注册手续,真是“快捷”啊!

<?xml:namespace prefix = v ns = "urn:schemas-microsoft-com:vml" /><?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />可被攻击的注册方式

分析一下这个网页的源代码(提交表单部分):

提交表单

熟悉表单操作的读者应该能看懂当我提交表单的时候会向服务器发送些什么东西:使用HTTP协议的POST方法向服务器提交一个表单,处理这个表单的服务器程序是的一个asp程序,提交的数据只有两个,电话号码,和确认(在HTTP头中也许有额外的cookie信息)。没有其它的任何辅助认证手段,就可以输入一个手机号码,然后就可以向这个手机号码发送一条短信。

现在设想这样的情况:我使用一个程序,它来代替我向这个服务器发送一个HTTPPOST消息,然后提交它需要的发送短信的足够的数据,那么这个服务器就会向指定号码的手机发送一条短信。如果我建立一个数据库,里面有多达上百个可以来发送短信的服务器地址和数据,然后我重复的做这种操作1000次(甚至更多),所有的短信都发送到一个手机上!用户一下子会接收到几千甚至上万条短信,他的手机还能用吗?!

不要觉得这是不可能做到的事情,我轻松的在网上搜索了一下,就发现很多网站注册短信就是通过这样不甚严格的方式进行注册。我记录下其中的一些建立了一个小型数据库,然后编写一个调用这个数据库来发短消息程序。(程序界面截图如下:)

程序界面

 

指定号码在短时间内就收到了大量的垃圾短信!

如果我的数据库够大,那么情况将更加恶劣了!

能出现这种程序的原因无非就是一些注册网站在注册的时候图省事,不做严格的检测控制,使得机械式的程序也能做这样的事!

希望各移动运营商在允许网站提供类似服务的时候,要求网站必须提供更为严密的检测措施!比如下面的这种必须输入随即验证码的认证方式就可以让这

种攻击一筹莫展(选取新浪的短信注册页面,新浪拥有此图片版权)

 sina注册

希望大家通过mail和我联系,也可以向我索取该攻击程序以及源代码。

tigger_211@sina.com

网站注册登录等短信验证码

现在随着时代的发展,许多网站的注册,或者登录都和手机号码关联在一起,这样也方便了我们记住账号,下面我就来说一下怎么用php发短信,这个是卸载(lavarel)框架的。 这里给大家介绍一个平台--云信使...
  • Arvin9i
  • Arvin9i
  • 2016-08-06 15:00:39
  • 3400

利用某网站注册短信验证码漏洞,抓包改包实现短信轰炸骚扰

0X01: 测试对象的信息我就不公开了,全程打码。这也是隐私问题  学习思路就好。首先打开要测试的网站,找到注册页面; 上图我们可以看到,它这个站注册的时候是要发送验证码的。一般比较大的电商网站都...
  • zowyyczv
  • zowyyczv
  • 2017-04-05 09:12:52
  • 8095

短信接口调用-手机短信,验证码

本文章短信平台接口基于中国网建SMS短信平台API,相关网址为点我打开--->中国网建SMS短信平台。注册后即可立即使用,无信息审核验证延迟。     通过中国网建第三方API发送一条短信,需要知道以...
  • J_Anson
  • J_Anson
  • 2017-01-21 14:29:40
  • 5268

paip.突破 网站 手机 验证码 的 破解 总结

paip.突破 网站 手机 验证码 的 破解 总结  作者Attilax  艾龙,  EMAIL:1466519819@qq.com 来源:attilax的专栏 地址:http://bl...
  • attilax
  • attilax
  • 2013-12-22 23:28:04
  • 2779

各大APP注册时发送短信验证码是怎么实现的?

回答这个问题可以从多个角度来回答,比如商务角度和技术角度,为了快速清晰的让广大的读者了解这个过程,本文我们从商务角度来深入分析。   实现原理     现各大APP发送短信的服务一般是由第三方短...
  • kaifaer
  • kaifaer
  • 2016-09-27 10:52:00
  • 9111

【公告】关于开启用户注册及登录手机短信验证的通知

各位尊敬的CSDN用户:您好! 国家互联网信息办公室2015年2月4日发布《互联网用户账号名称管理规定》,要求帐号实名制。今年网安开始执行检查。为了贯彻落实国家互联网信息办公室对互联网用户账号名称的...
  • csdnproduct
  • csdnproduct
  • 2017-04-12 17:11:48
  • 93802

利用网站短信漏洞,做自己的手机短信轰炸机

  • zgqtxwd
  • zgqtxwd
  • 2008-05-01 00:23:00
  • 871

SnagIt8抓图软件

  • 2011年12月08日 15:17
  • 11.88MB
  • 下载

验证码短信接口受到恶意调用

验证码短信接口受到恶意调用
  • sir051223
  • sir051223
  • 2016-08-15 20:49:50
  • 3136

一个注册页面的源码,有短信验证

注册 注册页面 --> 手机号: 密码: ...
  • nyist327
  • nyist327
  • 2015-03-11 14:15:22
  • 3475
收藏助手
不良信息举报
您举报文章:网站短信注册的安全之忧
举报原因:
原因补充:

(最多只允许输入30个字)