关键词:
公司的商城网站刚上线运营不到一个星期,网站就被***了,导致公司网站的短信通道被人恶意刷了几万条短信,损失较大,同时服务器也遭受到了前所未有的***。CPU监控看到网站在被盗刷短信验证码的时候,CPU一直保持在%95,网站甚至有些时候都无法打开。
网站被***后我登录了阿里云进去看了下,受到了很多阿里云提示的安全提醒,阿里云竟然没有给我拦截,我打电话咨询阿里云,阿里云竟然说我没有购买他们的云防火墙,阿里云客服还一再的推销让我们公司购买他们的云防火墙来防止短信验证码***,本身我也是做技术出身的,还是懂一些代码以及安全方面的,公司领导立即开会研究这个问题该如何解决,任命我带头负责处理此次的安全问题。
首先关于网站短信验证码被盗刷,从多个层面去分析漏洞产生的原因,基础带宽线路层,服务器层,网站层,三个方面去分析解决问题。
基础带宽应用层是:像DDOS,CC,带宽流量的***属于基础带宽,如果网站遭受到***,网站打不开,打开无法显示一般都是基础带宽应用层受到了***,防御办法也是通过高防服务器的硬防来防止***,但是也会造成误封,多层流量清洗防止***。
服务器层面,服务器被***的话,一般也会造成短信验证码盗刷,***者***服务器,并在服务器里直接与短信验证码平台通信发送数据,多频率的发送,修改数据库,都会造成短信验证码的盗刷。
网站层,经过多年的技术开发与安全接触,短信验证码被盗刷,都是网站存在漏洞导致的,尤其写的代码并没有对请求的次数,以及请求的函数,请求IP,进行安全过滤,这次公司商城网站被盗刷短信很大一部分原因是代码上的漏洞,代码开发有问题,先从代码入手查看问题,检查了所有关于获取短信验证码调用的代码,在一个会员找回密码功能这里,我们发现了问题,代码里竟然没有对请求的次数,频率,IP,进行限制,导致***者利用该页面功能,POST伪造函数多次请求找回密码页面,导致短信被刷,瞬时间服务器都会遭受压力,CPU达到百分之95.针对这个漏洞,我们对代码漏洞进行了修复,限制请求次数,频率,手机号码唯一性判断,IP判断验证等等的安全策略来阻止短信验证码被盗刷。
至此短信被盗刷的问题得以解决,网站代码的开发环节真的很重要,在网站上线之前一定要对网站的安全进行测试,许多程序员在开发代码的时候只顾功能并不会考虑到安全问题,甚至有些程序员的安全意识很薄弱,导致代码出现sql注入漏洞,XSS跨站漏洞,数据库漏洞,等等问题,如果不懂如何修复网站漏洞,也可以找专业的网站安全公司来处理,国内也就Sinesafe和绿盟、启明星辰等安全公司比较专业.
怎么一个好的短信验证码接口接入到自己的企业网站和app程序当中选择
文章来源:http://www.4006026717.com短信验证码平台太多也是一种幸福的烦恼,毕竟好东西太多不知道该如何选也是很麻烦的。那么,如何选择一个好用的平台呢?下面小编为大家提供几个参考点。一、功能 通常情况下,企业常... 查看详情
关于短信消耗攻击的认识以及防御
我们都知道门户网站的登录好多都需要验证码,将发送给你的短信验证码,输入到页面才能完成登录或者注册,可是短信是要钱的,都是老板花钱卖的,如何防止恶意的人无休止,请求验证码呢?如果老板短信费一天耗尽他将大... 查看详情
怎么修复网站漏洞骑士cms的漏洞修复方案
怎么修复网站漏洞骑士cms的漏洞修复方案分类专栏:网站安全网站被黑网站被篡改如何防止网站被侵入如何防止网站被挂马如何防止网站被黑网站安全服务网站安全文章标签:如何修复网站漏洞网站漏洞怎么修复网站安全公司网... 查看详情
国外短信平台收不到验证码,怎么解决?
背景:国外短信平台,经常遇到验证码收不到的情况如果您是一家海外企业或跨国公司,那么国外短信平台的使用一定不可或缺。无论您是要给客户发送营销信息,还是给员工发送公司通知,使用国外短信平台都能帮助您实现高... 查看详情
联通手机号停机保号了,想恢复要短信验证码登陆但是无法接收短信验证码怎么办
换个联通号码登录,再退出,重新登陆这个号码,就不要短信验证了。 查看详情
针对网站漏洞怎么修复区块链漏洞之以太坊
...,君士坦丁堡的硬分叉一个升级代号,被爆出含有高危的网站漏洞,该漏洞产生的原因是由于开启了新的协议模式eip1283导致的,也是区块链漏洞当中危害较为严重的,可以让一些交易进行重入,一个转账可以导致写入2次,但该... 查看详情
针对网站漏洞怎么修复区块链漏洞之以太坊
针对网站漏洞怎么修复区块链漏洞之以太坊分类专栏:网站安全网站安全文章标签:网站漏洞怎么修复网站安全公司网站漏洞修复网站安全网站漏洞检测版权前段时间以太坊升级架构,君士坦丁堡的硬分叉一个升级代号,被爆出... 查看详情
各大app注册时发送短信验证码是怎么实现的?
APP注册时用户收到的验证码是该APP采用了第三方短信服务商提供的短信送达服务。各大短信服务商提供SDK和API接口,在APP里集成短信SDK然后调用API即可。云片聚焦短信服务,产品有国内短信、国际短信、语音验证码、语音通知等... 查看详情
企业短信遭疯狂盗用,可能是没配置验证码
...人熊某通过修改网络获取的短信群发代码,劫持多个商业网站注册接口控制其短信验证平台,登录API接口。然后通过自己编写的短信轰炸软件,具备向设定的手机号连续发送验证码短信的功能,之后,通过自行搭建的网站进行推... 查看详情
网站有漏洞被***该怎么解决和修复
...爆出致命漏洞,可以直接远程代码执行,getshell提权写入网站***到网站根目录,甚至直接提权到服务器,该漏洞影响版本ThinkPHP5.0、ThinkPHP5.0.10、ThinkPHP5.0.12、ThinkPHP5.0.13、ThinkPHP5.0.23、thinkphp5.0.22版本。***者可以伪造远程恶意代码... 查看详情
web前端怎么开发短信验证功能
用户点击获取验证码时,发送手机号到后端接口后端接收请求后,将手机号及验证码发给短信网关,并将手机号和短信验证码保存起来用户收到短信后,输入验证码,然后将验证码和手机号传给后端后端校验手机号和验证码是否... 查看详情
网站被***篡改***怎么解决并查找网站漏洞
网站被***篡改***怎么解决并查找网站漏洞分类专栏:网站安全网站被篡改如何防止网站被黑如何防止网站被侵入如何防止网站被挂马网站安全服务网站安全防护服务网站安全维护怎么查找网站漏洞网站安全检测ecshop网站安全修补... 查看详情
电脑网站登录框,不显示验证码怎么办?
登陆时不显示验证码网站登录框不显示验证码有2种可能1.电脑网络不稳定造成的,使用下面命令重置下网络按下win+r打开运行窗口,输入cmd回车,打开命令提示符窗口,输入下面命令netshintipreset回车,重启电脑,然后重新打开... 查看详情
渗透测试应该怎么做呢?
...WindowsServer2003系统,OK,到此为止。2、指纹识别其实就是网站的信息。比如通过可以访问的资源,如网站首页,查看源代码:看看是否存在文件遍历的漏洞(如图片路径,再通过…/遍历文件)是否使用了存在漏洞的框架(如果没... 查看详情
网站***修复网站漏洞修复方案
网站***修复网站漏洞修复方案分类专栏:网站安全网站被黑centos运维如何防止网站被侵入如何防止网站被黑如何防止网站被挂马网站安全服务怎么查找网站漏洞web网站安全服务dedecms老被挂马该内容被禁止访问网站被黑怎么修复Me... 查看详情
pythonselenium获取短信验证码是字符和数字怎么读取数字
...读取短信需要在相应的手机上读取呀由于工作需要,登录网站需要用到验证码。最初是研究过验证码识别的,但是总是不能获取到我需要的那个验证码。直到这周五,才想起这事来,昨天顺利的解决了。下面正题:Python版本:3.4... 查看详情
短信验证码是什么?
...验证码是一种区分用户是计算机和人的公共全自动程序。网站发到你手机上的短信里面有一串数字那就是短信验证码一般是注册或者绑定手机用的。 短信验证码就是通过发送验证码到手机上,大型网站尤其是购物网站,... 查看详情
源码分享微米cms怎么调用短信验证码功能
对接短信的时候发现一家短信公司,有些不错的短信验证码的插件,对接起来挺方便的,有需求的可以看一下。http://www.ihuyi.com/插件说明本插件系互亿无线针对微米CMS_V29.2版本开发,请按以下说明进行安装,插件内的所有文件均... 查看详情