域名預(yù)訂/競(jìng)價(jià)，好“米”不錯(cuò)過(guò)

在對(duì)客戶網(wǎng)站以及APP進(jìn)行安全檢測(cè)的同時(shí)，我們SINE安全對(duì)驗(yàn)證碼功能方面存在的安全問(wèn)題，以及驗(yàn)證碼漏洞檢測(cè)有著十多年的經(jīng)驗(yàn)，在整個(gè)APP，網(wǎng)站的安全方面，驗(yàn)證碼又分2種，第一個(gè)是登陸的身份驗(yàn)證碼，再一個(gè)對(duì)重要的操作進(jìn)行的操作驗(yàn)證碼，雖然從名字上都是驗(yàn)證碼，但這兩種所包含的內(nèi)容是不一樣的。

登陸身份驗(yàn)證碼的功能是用來(lái)判斷當(dāng)前賬戶登陸是否是賬戶者本身，簡(jiǎn)單來(lái)說(shuō)是判斷是否是賬戶的擁有者，用驗(yàn)證碼來(lái)效驗(yàn)，用戶注冊(cè)賬號(hào)的時(shí)候都會(huì)填寫手機(jī)號(hào)，那么手機(jī)號(hào)就作為身份唯一的證明，通過(guò)接收短信驗(yàn)證碼來(lái)登陸網(wǎng)站，以及APP。重要操作方面的驗(yàn)證碼，比如一些資金，提現(xiàn)，轉(zhuǎn)幣，充值，修改銀行卡，牽扯資金類的重要操作，含有這個(gè)修改密碼等等的屬于操作類型的驗(yàn)證碼，為的是防范別人盜用賬戶，對(duì)賬戶進(jìn)行篡改，給賬戶擁有者帶來(lái)?yè)p失，把握風(fēng)控。

這兩種驗(yàn)證碼的功能都不一樣，所以在對(duì)APP，網(wǎng)站進(jìn)行安全檢測(cè)的同時(shí)，查找出來(lái)的漏洞，以及發(fā)生的安全問(wèn)題，都不一樣。我們SINE安全工程師在對(duì)其他客戶平臺(tái)，APP進(jìn)行測(cè)試總結(jié)下來(lái)的經(jīng)驗(yàn)，來(lái)跟大家講將驗(yàn)證碼安全上的問(wèn)題。

使用驗(yàn)證碼為的就是提高APP安全，網(wǎng)站的安全性能，解決網(wǎng)站賬戶被暴力破解，頻繁的API訪問(wèn)，重要操作上的驗(yàn)證碼二次確認(rèn)，防止惡意操作導(dǎo)致用戶賬戶本身受損失，這些安全方面，都是為了區(qū)別開軟件與人工，當(dāng)用戶被暴力破解，一般都是采用軟件進(jìn)行攻擊操作，包括頻繁的訪問(wèn)某一個(gè)API接口，也都是由軟件實(shí)施，人工根本不可能實(shí)現(xiàn)。驗(yàn)證碼安全檢測(cè)，主要從以下幾個(gè)方面進(jìn)行測(cè)試：

驗(yàn)證碼是否可以重復(fù)利用，驗(yàn)證碼是否可被軟件ocr文字自動(dòng)識(shí)別，驗(yàn)證碼是否被可以被繞過(guò)，驗(yàn)證碼在一分鐘內(nèi)是否有數(shù)量的安全限制，驗(yàn)證碼的生成規(guī)則是否可逆，輸入驗(yàn)證碼出錯(cuò)的次數(shù)是否會(huì)開啟二次安全驗(yàn)證，根據(jù)近10年的安全測(cè)試經(jīng)驗(yàn)，我們SINE安全統(tǒng)計(jì)發(fā)現(xiàn)驗(yàn)證碼被重復(fù)利用，被自動(dòng)識(shí)別這些漏洞是經(jīng)常出現(xiàn)的，下面講一下驗(yàn)證碼被重復(fù)利用漏洞:

正常來(lái)講驗(yàn)證碼在設(shè)計(jì)過(guò)程都是與session值進(jìn)行綁定，當(dāng)session產(chǎn)生第一時(shí)間，驗(yàn)證碼也會(huì)緊跟其后，也會(huì)直接生成與當(dāng)前的session值進(jìn)行雙向的綁定。當(dāng)用戶訪問(wèn)APP，網(wǎng)站登錄的時(shí)候，會(huì)自動(dòng)加載驗(yàn)證碼，登錄請(qǐng)求到數(shù)據(jù)庫(kù)進(jìn)行查詢比對(duì)，用戶的賬號(hào)密碼是否正常，驗(yàn)證碼也會(huì)判斷是否正確，但這兩個(gè)請(qǐng)求是分開來(lái)的，一個(gè)走數(shù)據(jù)庫(kù)，一個(gè)走驗(yàn)證碼，各盡其責(zé)。如果是可以先請(qǐng)求驗(yàn)證碼，再請(qǐng)求數(shù)據(jù)庫(kù)，這就導(dǎo)致安全問(wèn)題的發(fā)生，APP的開發(fā)人員在設(shè)計(jì)的時(shí)候大多數(shù)考慮的是驗(yàn)證碼是否輸入正確，如果正確就通過(guò)，而忽略掉了可以調(diào)換業(yè)務(wù)流程的先后順序，要判斷登陸與驗(yàn)證碼的請(qǐng)求是否同步，在這個(gè)細(xì)節(jié)上，導(dǎo)致驗(yàn)證碼被重復(fù)利用。

我們?cè)跍y(cè)試其他客戶APP，網(wǎng)站的時(shí)候，用戶登陸時(shí)候先輸入驗(yàn)證碼，驗(yàn)證碼通過(guò)安全效驗(yàn)后，直接可以進(jìn)行登陸用戶賬戶與密碼，在這個(gè)過(guò)程可以導(dǎo)致暴力破解的漏洞產(chǎn)生。

下一篇我們將會(huì)分享驗(yàn)證碼被自動(dòng)識(shí)別漏洞，希望我們的分享能給網(wǎng)站運(yùn)營(yíng)者與開發(fā)人員一些幫助，當(dāng)在開發(fā)APP，網(wǎng)站驗(yàn)證碼功能上一定要謹(jǐn)慎，根據(jù)我們分享的安全問(wèn)題著重測(cè)試，并修復(fù)漏洞，完善網(wǎng)站的整體功能。

申請(qǐng)創(chuàng)業(yè)報(bào)道，分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處，共同探討創(chuàng)業(yè)新機(jī)遇！