Web应用安全测试-防护功能滥用

Web应用安全测试-防护功能滥用

1、恶意锁定问题

漏洞描述：通过不断的输入错误的密码可恶意锁定任意账号

测试方法：针对测试账户，不断输入错误的密码，直至将其锁定。

风险分析：若系统认证功能无防自动化处理模块，攻击者可编写脚本批量锁定系统账号。

风险等级：

【中危】：锁定账户之后，可继续使用认证功能，导致可批量自动化账户锁定。

【低危】：锁定账户之后，可继续使用认证功能，但认证存在防自动化功能。

修复方案：

账户锁定之后应不能继续使用认证功能
认证功能防自动化操作，如添加图形验证码。

注意事项：暂无

2、短信炸弹

漏洞描述：短信轰炸攻击时常见的一种攻击，攻击者通过网站页面中所提供的发送短信验证码的功能处，通过对其发送数据包的获取后，进行重放，如果服务器短信平台未做校验的情况时，系统会一直去发送短信，这样就造成了短信轰炸的漏洞。

测试方法：

（1）手工找到有关网站注册页面，认证页面，是否具有短信发送页面，如果有，则进行下一步。
（2）通过利用burp或者其它抓包截断工具，抓取发送验证码的数据包，并且进行重放攻击，查看手机是否在短时间内连续收到10条以上短信，如果收到大量短信，则说明存在该漏洞。

风险分析：

攻击者通过填写他人的手机号，使用软件burpsuite的intruder功能重复提交发送短信的请求包，达到短时间内向他人的手机上发送大量垃圾短信的目的。

风险等级：

【高危】：可对任意手机号轰炸

【中危】：只可对当前手机号轰炸

修复方案：

（1）合理配置后台短信服务器的功能，对于同一手机号码，发送次数不超过3-5次，并且可对发送的时间间隔做限制。
（2）页面前台代码编写时，加入禁止针对同一手机号进行的次数大于N次的发送，或者在页面中加入验证码功能，并且限制发送的时间间隔。

注意事项：暂无

3、邮件炸弹

漏洞描述：应用系统未限制邮件的发送次数和频率，造成短时间内大量邮件发送至接收者邮箱，造成大量垃圾邮件。

测试方法：

（1）手工找到有关网站注册页面，认证页面，是否具有邮件发送页面，如果有，则进行下一步。
（2）通过利用burp或者其它抓包截断工具，抓取发送邮件的数据包，并且进行重放攻击，查看邮箱是否在短时间内连续收到10封以上邮件，如果收到大量邮件，则说明存在该漏洞。

风险分析：攻击者通过填写他人的邮箱地址，使用软件burpsuite的intruder功能重复提交发送邮件的请求包，达到短时间内向他人的邮箱中发送大量垃圾邮件的目的。

风险等级：

【高危】：可对任意邮箱轰炸

【中危】：只可对当前邮箱轰炸

修复方案：

（1）合理配置后台邮件服务器的功能，对于同一邮箱，发送次数不超过3-5次，并且可对发送的时间间隔做限制。

（2）页面前台代码编写时，加入禁止针对同一邮箱进行的次数大于N次的发送，或者在页面中加入验证码功能，并且限制发送的时间间隔。