网站安全检测之用户密码找回网站漏洞的安全分析与利用（如何找到一个网站的漏洞）

网站安全检测之用户密码找回网站漏洞的安全分析与利用（如何找到一个网站的漏洞）

我们SINE安全在对网站，以及APP端进行网站安全检测的时候发现很多公司网站以及业务平台,APP存在着一些逻辑上的网站漏洞，有些简简单单的短信验证码可能就会给整个网站带来很大的经济损失，很简单的网站功能，比如用户密码找回上，也会存在绕过安全问题回答，或者绕过手机号码，直接修改用户的账户密码。

在短信炸弹，以及用户密码找回的网站漏洞上，我们来跟大家分享一下如何利用以及如何防范该漏洞的攻击。

对于这次检测出来的短信炸弹漏洞，首先分析代码，从之前程序员写的代码里看出，在用户登录这个过程代码里没有进行详细的安全过滤，导致输入用户名密码就可以发送验证码，再一个就是程序员设计的过程中将测试的手机号码都存放于数据库里，导致很多正常的用户收到测试时候的短信验证码。再一个漏洞产生的原因，就是程序代码里设计的初始化密码为123456，导致在找回密码重置密码的时候就会进行写入数据库，攻击者利用撞库就可以很容易的猜测到用户的密码。

那么该如何防范短信炸弹漏洞呢？

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。