【Tips+1】短信验证码常见漏洞总结

Tips +1

关于验证码

验证码是很多Web站点、APP、小程序等应用采用的一种安全措施，用于防止频繁或“机器人”登录，常用在登录注册、密码重置、交易确认、修改注册信息等处。常见的验证码包括图片验证码、滑动验证码、语音验证码、行为验证码、短信验证码和邮箱验证码等。

漏洞成因

验证码漏洞的原理在很大程度上取决于验证码的设计和实施，目前大多数的验证码漏洞形成主要由验证码生成机制或验证机制存在缺陷引发的问题。以下是一些常见的成因：

1. 设计不当：验证码的设计不合理可能使其更容易被攻击者绕过。例如，验证码的长度、复杂度、颜色选择、字体等方面设计不当，会增加验证码的破解难度。
2. 字典攻击：攻击者使用一个事先准备好的字典，其中包含可能的验证码选项，然后逐个尝试这些选项，直到找到正确的验证码。这通常成功于使用弱验证码或常见词语的情况下。
3. 暴力破解：类似于字典攻击，暴力破解是一种尝试所有可能的验证码组合的攻击方式。攻击者会尝试所有可能的字符组合，直到找到正确的验证码。这种攻击方式特别适用于短而简单的验证码。
4. 光学字符识别（OCR）攻击：攻击者使用OCR技术来自动识别验证码图像中的字符。OCR工具可以分析验证码图像，识别字符，然后尝试破解验证码。这种攻击方式对于简单的文本验证码特别有效。
5. 利用会话管理漏洞：如果验证码的会话管理不当，攻击者可能能够在同一会话中多次尝试不同的验证码，或者在一次会话中多次使用相同的验证码来执行恶意操作。
6. 客户端漏洞：前端验证（客户端验证）的漏洞可能导致攻击者绕过验证码。例如，攻击者可以在网页上注入恶意脚本来绕过客户端验证。
7. 逻辑漏洞：验证码验证逻辑的漏洞可能使攻击者能够绕过验证，例如通过修改请求参数或伪造请求。
8. 中间人攻击：攻击者可能中间人攻击通信渠道，截取用户与服务器之间的验证码交换，从而获取有效的验证码。这通常发生在不安全的传输通道上，如未使用HTTPS的情况下。

短信验证码漏洞总结

短信验证码

短信验证码是一种常见的身份验证和安全措施，它通常用于验证用户的身份，以确保用户是合法的，并且具备访问某个服务或执行某个操作的权限。短信验证码的工作原理是向用户的手机号发送一个包含随机数字或字母组合的短信，用户必须在验证页面上输入这个验证码才能完成身份验证。以下是一些短信验证码可能存在的漏洞：

1. 短信轰炸：没有对短信发送进行合理的次数限制，攻击者会随意多次发送短信，遭成短信轰炸漏洞
2. 短信次数限制绕过：对短信发送做次数限制，但是可以绕过
3. 利用并发进行短信轰炸：对短信发送做次数限制，可通过并发进行爆破
4. 前端显示验证码：发送验证码后，前端可显示验证码。
5. 响应包显示验证码：发送验证码后，通过抓包可显示验证码
6. 验证码逻辑绕过：验证码请求后，可更改参数绕过验证进入第二步。
7. 后端未对验证码做判断：请求验证码后，随便输入验证码即可进入下一步。
8. 验证码未失效处理：多次尝试失败后未进行失效处理
9. 验证码有效期问题：短信验证码有效期过长
10. 短信验证码唯一性：服务端对验证码的校验只校验有效性，未校验其与手机号的对应关系。如：验证码未与手机号绑定的话，就会发生这样的情况，A 的验证码 B 可以用
11. 验证码过于简单：短信验证码过短，可枚举：比如三位数
12. 短信内容用户可控：通过抓包可篡改发送的内容
13. 短信验证码之前没有进行人机识别或可绕过：比如发送短信验证码之前没有进行图片验证码或者图片验证码可绕过
14. 六位数验证码可爆破：挖过SRC 的小伙伴都知道这个技巧吧~

为了减少短信验证码漏洞的风险，我们可以采取以下措施：

• 使用双因素认证，以增强安全性。使用短信验证码时，在发送短信验证码时一定要先进行人机校验，如校验图形验证码。
• 实施合理的会话管理，确保一次性验证码不能多次使用。
• 监控异常活动，检测可疑的验证码请求。
• 使用HTTPS加密来保护短信传输。
• 采取额外的安全措施，如限制尝试次数和持续改进验证码生成算法，以降低猜测和破解的风险。
• 限制单个手机号某个时段内最多接收的短信数量，如根据业务需要每小时或每天最多发送五条，每分钟最多发送一条。
• 根据业务需求限制短信发送的时间段，如每天早9点以前、晚8点以后禁止发送短信。
• 防止用户直接或间接地自定义短信内容，防止被用于发送广告或非法内容。

【加入红蓝攻防成长圈，助你快速成长】

原文始发于微信公众号（贝雷帽SEC）：【Tips+1】短信验证码常见漏洞总结