在短信×××，以及用戶密碼找回的網站漏洞上，我們來跟大家分享一下如何利用以及如何防範該漏洞的×××。

我們來看下之前對客戶網站進行的網站安全檢測的時候我們發現到的短信×××漏洞，由於客戶反映註冊網站會員的時候會收到好幾條重復的驗證碼短信，甚至多次點擊提交也會導致收到好多條驗證碼信息，隨即我們SINE安全對其進行詳細的安全檢測，果然發現了問題，對註冊會員的時候確實存在多次發送短信的情況，我們對提交的數據，GET,POST方式進行多次的安全測試，發現post數據的時候，在smg值後面隨意添加任何參數，即可導致網站發送驗證碼短信到用戶手機上，可以發送無數條短信，如果被×××者利用，那帶來的損失無法估量。

對於這次檢測出來的短信×××漏洞，首先分析代碼，從之前程序員寫的代碼裏看出，在用戶登錄這個過程代碼裏沒有進行詳細的安全過濾，導致輸入用戶名密碼就可以發送驗證碼，再一個就是程序員設計的過程中將測試的手機號碼都存放於數據庫裏，導致很多正常的用戶收到測試時候的短信驗證碼。再一個漏洞產生的原因，就是程序代碼裏設計的初始化密碼為123456，導致在找回密碼重置密碼的時候就會進行寫入數據庫，×××者利用撞庫就可以很容易的猜測到用戶的密碼。

那麽該如何防範短信×××漏洞呢？

從網站安全的角度來分析，以及網站安全部署層面上看，在短信平臺上可以做到防止短信無數發送，現在阿裏雲的短信平臺，可以做到防止多次發送短信到用戶手機，一個手機號一天只能接收5次短信的安全限制，再一個就是從程序代碼裏進行安全加固，對註冊的會員，進行判斷，如果是一個IP，只能發送一條短信。用戶點擊獲取驗證碼前輸入圖文驗證碼，才能發送，間隔時間60秒才能發送一條短信。在整體的網站安全檢測中我們要提前告知客戶，我們在進行操作什麽，網站漏洞掃描，網站漏洞利用，數據庫寫入刪除等比較重要的操作，都要事先跟客戶告知，提前對網站的數據進行整體的安全備份，包括數據庫的備份，網站源代碼的備份。在×××測試當中我們要先進行安全評估，整體的安全檢測會不會給用戶帶來影響以及損失，盡可能的不要產生影響客戶網站訪問，以及業務正常運轉。下一篇文章跟大家分享用戶密碼找回漏洞的利用與分析。

網站安全檢測之用戶密碼找回網站漏洞的安全分析與利用