Web应用安全测试-防护功能滥用
1、恶意锁定问题
漏洞描述:通过不断的输入错误的密码可恶意锁定任意账号
测试方法:针对测试账户,不断输入错误的密码,直至将其锁定。
风险分析:若系统认证功能无防自动化处理模块,攻击者可编写脚本批量锁定系统账号。
风险等级:
【中危】:锁定账户之后,可继续使用认证功能,导致可批量自动化账户锁定。
【低危】:锁定账户之后,可继续使用认证功能,但认证存在防自动化功能。
修复方案:
账户锁定之后应不能继续使用认证功能
认证功能防自动化操作,如添加图形验证码。
注意事项:暂无
2、短信炸弹
漏洞描述:短信轰炸攻击时常见的一种攻击,攻击者通过网站页面中所提供的发送短信验证码的功能处,通过对其发送数据包的获取后,进行重放,如果服务器短信平台未做校验的情况时,系统会一直去发送短信,这样就造成了短信轰炸的漏洞。
测试方法:
(1)手工找到有关网站注册页面,认证页面,是否具有短信发送页面,如果有,则进行下一步。
(2)通过利用burp或者其它抓包截断工具,抓取发送验证码的数据包,并且进行重放攻击,查看手机是否在短时间内连续收到10条以上短信,如果收到大量短信,则说明存在该漏洞。
风险分析:
攻击者通过填写他人的手机号,使用软件burpsuite的intruder功能重复提交发送短信的请求包,达到短时间内向他人的手机上发送大量垃圾短信的目的。
风险等级:
【高危】:可对任意手机号轰炸
【中危】:只可对当前手机号轰炸
修复方案:
(1)合理配置后台短信服务器的功能,对于同一手机号码,发送次数不超过3-5次,并且可对发送的时间间隔做限制。
(2)页面前台代码编写时,加入禁止针对同一手机号进行的次数大于N次的发送,或者在页面中加入验证码功能,并且限制发送的时间间隔。
注意事项:暂无
3、邮件炸弹
漏洞描述:应用系统未限制邮件的发送次数和频率,造成短时间内大量邮件发送至接收者邮箱,造成大量垃圾邮件。
测试方法:
(1)手工找到有关网站注册页面,认证页面,是否具有邮件发送页面,如果有,则进行下一步。
(2)通过利用burp或者其它抓包截断工具,抓取发送邮件的数据包,并且进行重放攻击,查看邮箱是否在短时间内连续收到10封以上邮件,如果收到大量邮件,则说明存在该漏洞。
风险分析:攻击者通过填写他人的邮箱地址,使用软件burpsuite的intruder功能重复提交发送邮件的请求包,达到短时间内向他人的邮箱中发送大量垃圾邮件的目的。
风险等级:
【高危】:可对任意邮箱轰炸
【中危】:只可对当前邮箱轰炸
修复方案:
(1)合理配置后台邮件服务器的功能,对于同一邮箱,发送次数不超过3-5次,并且可对发送的时间间隔做限制。
(2)页面前台代码编写时,加入禁止针对同一邮箱进行的次数大于N次的发送,或者在页面中加入验证码功能,并且限制发送的时间间隔。