漏洞解决方案-短信炸弹攻击

最新推荐文章于 2024-05-28 10:20:47 发布
最新推荐文章于 2024-05-28 10:20:47 发布
阅读量1.6w 收藏 22
点赞数 6
分类专栏: 安全 文章标签: 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/baidu_35488871/article/details/108073310
版权

短信炸弹攻击

一、前置知识

短信炸弹攻击,就是通过把发送短信验证码的报文截获后进行重放造成的攻击。
威胁描述:
如果短信炸弹攻击成功,攻击者可以向该手机号一直不停的发送短信,不但因短信过多发送造成经济损失,甚至会使短信系统崩溃,无法正常提供服务。
涉及功能点:
任何涉及短信验证码发送的功能点,如用户注册、登录、转账等功能。

二、修复方案

  1. 前端控制,通过图形验证码的验证,如果验证不通过则不允许发送短信;
  2. 其次为防止类似httpclient工具直接请求没有session的情况,进行session有无判断,如果没有session信息则不允许发送短信;
  3. 除此之外,再从session、ip、手机号、客户号四个方面请求频率和单位时间请求次数两个角度进行限制,防止短信炸弹,具体如下:
    1)session:
    a.同一sessionId两次的请求时间间隔不应小于设定值(建议请求时间间隔为60s);
    b.同一sessionId的单位时间请求次数不应大于设定值(建议10分钟时间内请求次数不能超过8次);
    2)ip:
    同一ip单位时间请求次数不应大于设定值(考虑到局域网问题,建议只限定10分钟时间内请求次数不能超过200次);
    3)手机号:
    a.同一手机号两次的请求时间间隔不应小于设定值(建议请求时间间隔为60s);
    b.同一手机号的单位时间请求次数不应大于设定值(建议10分钟时间内请求次数不能超过5次);
    4)客户号(针对如个网跳转注册直销等已知客户号的场景):
    a.同一客户号两次的请求时间间隔不应小于设定值(建议请求时间间隔为60s);
    b.同一客户号的单位时间请求次数不应大于设定值(建议10分钟时间内请求次数不能超过5次);

三、代码参考

安全开发实例:

  1. 通过session id防护:

    #!java

String sessionId = session.getId();   //判断同一sessionId请求时间间隔是否小于设定间隔,防止恶意攻击
Long preReqTime4Session = reqTimeMap4Session.get(sessionId);    //上次请求时间
Long curReqTime4Session = System.currentTimeMillis();   //本次请求时间
AtomicInteger errorTimes4Session = reqErrorMap4Session.get(sessionId); //频繁调用累计次数
if(preReqTime4Session!=null) {
	//频率校验
	if(curReqTime4Session-preReqTime4Session < refuseInterval) {
		log.error("session_attack: " + sessionId + "===curReqTime-preReqTime < refuseInterval==");
		isError = true;
	} else {
		//总次数校验
		if(errorTimes4Session != null && errorTimes4Session.get() >= sessionTimes) {
			log.error("session_attack: " + sessionId + "===errorTimes==" + errorTimes4Session);
			isError = true;
		}
	}
} else {
	if(errorTimes4Session != null) {
		reqErrorMap4Session.remove(sessionId);
	}
}

  2. 通过IP防护:

    #!java

String ipAddress = getIp(context);   //判断同一IP请求时间间隔是否小于设定间隔,防止恶意攻击
Long preReqTime = reqTimeMap.get(ipAddress);    //上次请求时间
Long curReqTime = System.currentTimeMillis();   //本次请求时间
AtomicInteger errorTimes = reqErrorMap.get(ipAddress); //频繁调用累计次数
if(preReqTime!=null) {
	//次数校验
	if(errorTimes != null && errorTimes.get() >= ipTimes) {
		log.error("ip_attack: " + ipAddress + "===errorTimes==" + errorTimes);
		isError = true;
	}
} else {
	if(errorTimes != null) {
		reqErrorMap.remove(ipAddress);
	}
}

  3. 通过手机号防护:

    #!java

Long preReqTime4Phone = reqTimeMap4Phone.get(mobilePhone);    //上次请求时间
Long curReqTime4Phone = System.currentTimeMillis();   //本次请求时间
AtomicInteger errorTimes4Phone = reqErrorMap4Phone.get(mobilePhone); //频繁调用累计次数
if(preReqTime4Phone!=null) {
	//频率校验
	if(curReqTime4Phone-preReqTime4Phone < refuseInterval) {
		log.error("phone_attack: " + mobilePhone + "===curReqTime-preReqTime < refuseInterval==");
		isError = true;
	} else {
		//次数校验
		if(errorTimes4Phone != null && errorTimes4Phone.get() >= mobileTimes) {
			log.error("phone_attack: " + mobilePhone + "===errorTimes==" + errorTimes4Phone);
			isError = true;
		}
	}
} else {
	if(errorTimes4Phone != null) {
		reqErrorMap4Phone.remove(mobilePhone);
	}
}

  4. 通过客户号防护:

    #!java

Long preReqTime4CifNo = reqTimeMap4CifNo.get(cifNo4TokenImg);    //上次请求时间
Long curReqTime4CifNo = System.currentTimeMillis();   //本次请求时间
AtomicInteger errorTimes4CifNo = reqErrorMap4CifNo.get(cifNo4TokenImg); //频繁调用累计次数
if(preReqTime4CifNo!=null) {
	//频率校验
	if(curReqTime4CifNo-preReqTime4CifNo < refuseInterval) {
		log.error("CifNo_attack: " + cifNo4TokenImg + "===curReqTime-preReqTime < refuseInterval==");
		isError = true;
	} else {
		//次数校验
		if(errorTimes4CifNo != null && errorTimes4CifNo.get() >= cifNoTimes) {
			log.error("CifNo_attack: " + cifNo4TokenImg + "===errorTimes==" + errorTimes4CifNo);
			isError = true;
		}
	}
} else {
	if(errorTimes4CifNo != null) {
		reqErrorMap4CifNo.remove(cifNo4TokenImg);
	}
}

关注公众号,一起分享实用安全技术,关注安全最新事件,记录工作常见问题,吐槽生活真心操蛋。
在这里插入图片描述

rel~smart
关注
  • 6
    点赞
  • 22
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
验证码测试——轰炸之横向轰炸和纵向轰炸
unisms88的博客
06-23 1万+
轰炸也分为水平轰炸和垂直轰炸。按字面意思猜一下,就像这样。据我所知,目前还有很多接口可以被水平轰炸,尤其是在网页中,没有对接口做一些必要的限制,导致无限呼叫和滥用的存在。 因为手机号码格式比较固定,从1开始,中文11位等,可用代码,存储过程瞬时批量生成100W手机号码。 现有的工具,如Jmeter,通过CSV配置文件导入生成的电话号码,并通过HTTP请求发送它们。您还可以启动一定数量的线程,每分钟向100W个电话号码发送文本消息。假设一条1分钱,那一分钟就有1W元被发送出去的发送出去,但
寒假学习第五天---批量挖掘轰炸漏洞
m0_73581247的博客
01-14 690
提示:终于第五天了以上是小六花的个人经验,文章有问题请大佬多多指出,祝各位寒假开心。
网络安全之验证码接口攻击接口会被黑客调用,以攻击手机号为目的刷网站,如果验证码端口不做任何限制,不仅对用户造成骚扰,更会浪费你的余额,降低品牌形象,常见的防护手段,增加前端验证码
最新发布
weixin_54048131的博客
05-28 356
接口会被黑客调用 以攻击手机号为目的刷网站 恶意刷取目标网站的费用 解决方法给移动打电话报套餐,或者跟中国电和移动联通 解决方法 增加前端验证码 滑块点击等方式,对单个ip做出限制 防止攻击者同Ip下不同,超过最大阀值,将不予以返回 腾讯验证码等等
理解这几个安全漏洞,你也能做安全测试
qq_73332379的博客
03-10 949
轰炸攻击是常见的一种攻击攻击者通过网站页面中所提供的发送验证码的功能处,通过对其发送数据包的获取后,进行重放,如果服务器平台未做校验的情况时,系统会一直去发送,这样就造成了轰炸的漏洞。 ​
关于防止炸弹的几种方法
热门推荐
动感超人的专栏
03-17 1万+
关于防止炸弹的几种方法,可以参考。
轰炸漏洞绕过的多种方法技巧
渗透测试研究中心
04-06 720
在测试甲方业务或者挖 SRC 等业务的时候,经常碰到发送验证的地方,我们可以联想到的就是任意用户登陆、轰炸、任意用户修改密码等逻辑性的漏洞, 简单的漏洞也是需要清晰的思维分析,拿几个轰炸多个绕过案例分享,高危挖不动低危拿来凑。发送的时候是 11 位数,但是数据库没有限制字段长度为 11,通过添加空格绕过了原有的校验,但是后台发送号码的时候,取有效字符前面的字段,导致了出现被绕过的方法。这一个漏洞的话, 一般是前台输入手机号码, 发送请求 到后台判断是否可以执行发送请求。
【安全】Web应用常见业务逻辑漏洞
jennycisp的博客
11-02 515
轰炸攻击是常见的一种攻击攻击者通过网站页面中所提供的发送验证码的功能处,通过对其发送数据包的获取后,进行重放,如果服务器平台未做校验的情况时,系统会一直去发送,这样就造成了轰炸的漏洞
如何防止炸弹
Jerry的一亩三分地
09-28 8632
网站建设中,使用手机验证码可以有效防止无效用户的注册,验证用户身份真实性,提高网站会员质量和息安全性。与此同时,如果网站中没有做好炸弹的防范,容易被炸弹恶意访问,不停发送验证码, 造成企业大量的无效发送,账户金额损失,更容易引起用户对网站的投诉,造成不必要的麻烦。 使用炸弹的不法分子,会事先把收集到的大量手机号,导入到轰炸平台,然后会输入一些直接可以填入手机号获
Educoder题目:Python入门-绘制炸弹轨迹 ※答案解析.md
11-13
Educoder题目:Python入门-绘制炸弹轨迹 ※答案解析.md
汇编-炸弹实验过程记录.docx
03-30
在这个名为“汇编-炸弹实验过程记录”的文档中,我们探索了一个基于C语言的二进制程序,它模拟了一种“拆炸弹”的挑战。这个挑战要求用户输入特定的字符串序列来解除“炸弹”(即程序)的“爆炸”。这个程序在运行...
动态验证码安全防护方案
07-12
动态验证码安全防护方案201507.pdf 中国移动 目录 1. 概述 ................................................................. 3 2. 适用范围 ...............................................................
Android开发实例简化版--炸弹超人源代码
03-16
【Android开发实例简化版--炸弹超人源代码】 在Android应用开发中,实践是学习的最佳方式,特别是对于初学者来说。"炸弹超人"(BombMan)是一个经典的案例,它涵盖了基础的移动游戏开发概念,如游戏循环、碰撞检测...
Python小游戏源码-炸弹人小游戏游戏源码
02-27
【Python小游戏源码-炸弹人小游戏游戏源码】 在编程世界中,开发游戏是一种极好的学习和实践技术的方式。Python语言以其简洁明了的语法和丰富的库资源,成为了初学者和专业开发者创建游戏的热门选择。"炸弹人"是一...
c代码-fork炸弹,可以将linux/docker直接卡死瘫痪
07-14
然而,不恰当的使用也可能导致严重的问题,比如“fork炸弹”。本篇文章将详细解析“c代码-fork炸弹”及其对Linux和Docker环境的影响。 fork炸弹是一种恶意或者误操作的程序,它通过滥用Linux系统的fork函数来创建...
Project-C:炸弹人计划
03-16
"Project-C:炸弹人计划"是一个基于C语言开发的项目,旨在实现一款经典的游戏——“炸弹人”。在这款游戏中,玩家控制一个角色在迷宫般的地图上放置炸弹,以炸毁障碍物和击败敌人,同时避免自己被炸弹炸到。项目C的...
网络逻辑漏洞、SQLMAP、Nmap、burpsuite及其命令的使用方法
weixin_65695770的博客
04-07 4129
SQLMAP sqlmap是一种开源的渗透测试工具,可以自动检测和利用SQL注入漏洞以及接入该数据库的服务器。它拥有非常强大的检测引擎、具有多种特性的渗透测试神器、通过数据库指纹提取访问底层文件系统并通过外带连接执行命令。 支持的数据库:MySQL,Oracle, PostgreSQL, SQL Server, Microsoft Microsoft Access, IBM DB2, SQLite, Firebird, Sybase and SAP MAXDB。 sqlmap支持五种不同的注入模
Java接口防刷策略(自定义注解实现)
single_cong的博客
06-01 6413
目的 发送及验证码校验接口防刷 一方面防止用户循环调用刷验证码 另一方面防止用户循环调用测验证码(一般验证码为6位纯数字,一秒钟上百次调用,如果不做限制很快就能试出来了) 很多接口需要防止前端重复调用 误操作多次点击,不属于攻击类型,正常用户经常会触发的,例如息发布可能前端限制未做好,误点击了多次,这种情况实际上应该只记录第一次的,后续的不应该继续操作数据库。 极端的情况 可能很多接口一天或者很长时间只能调用一次(类似签到?个人想法是尽量不让数据到了数据库层再抛异常) 解决措施 利
炸弹jmeter验证方法
weixin_43834228的博客
11-28 4661
炸弹 危害:时间内接收数条,致使手机卡顿死机等,另外也对手机使用者生活带来不必要的烦恼;某公司的下发接口被大规模利用,带来严重经济损失。 问题:通过爆破的方式向服务器频繁请求数据下发接口,达到攻击的效果。 修改建议:加条数限制;加频率限制。 测试方法:对于炸弹的验证,可以化归为对发接口的压力测试(并行测试),则测试方法为压力测试接口。 测试工具:jmete...
python入门-绘制炸弹轨迹
11-17
Python是一种简单易学的编程语言,非常适合初学者。要绘制炸弹的轨迹,我们可以利用Python中的matplotlib库来实现。首先,我们需要安装matplotlib库,可以通过pip命令进行安装。 安装完毕后,我们可以创建一个新的Python文件,并导入matplotlib库。然后,我们定义炸弹的初始位置、速度和角度等参数。接下来,我们可以使用数学公式来计算炸弹在每个时间点的位置,并将这些位置存储起来。 然后,通过matplotlib库提供的绘图函数,我们可以将这些位置点连接起来,形成炸弹的轨迹。我们还可以添加标题、坐标轴标签等装饰,使得轨迹图更加直观和美观。 最后,我们可以保存绘制好的轨迹图,或者直接显示在屏幕上。通过这个简单的绘制炸弹轨迹的例子,我们可以学习到如何使用Python进行数学计算和数据可视化。 总的来说,Python可以帮助我们快速实现各种功能,包括绘制炸弹轨迹。通过学习Python,我们可以更好地理解编程思维,并且可以将这种能力应用到更加复杂的问题上。希望这个例子对于想要学习Python编程的人们有所帮助。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值