基于“驗證碼前端可控”漏洞談網絡安全問題防范

孫海波 馮偉 張鳳雨 劉志斌

【摘要】? ? 本文就工作中發現的一起驗證碼前端可控漏洞，從事件經過、驗證過程、防護建議幾個方面，對該漏洞進行介紹。使讀者能夠對驗證碼前端可控漏洞有一個比較清晰的認識，防止攻擊者利用該漏洞獲取用戶帳號信息，登錄網站，造成不可預想的損失。

【關鍵詞】? ? 網絡安全漏洞? ? 驗證碼? ? Burp Suite? ? cookie

隨著互聯網技術的快速發展，犯罪分子利用網絡手段犯罪的行為已不鮮見。2018年8月14日，深圳龍崗警方宣布打掉一個新型盜刷銀行卡犯罪團伙，抓獲10名嫌疑人，查繳偽基站等電子設備6套，帶破同類案件50余宗，涉案金額逾百萬元。據專家分析，嫌疑人通過“GSM劫持+短信嗅探”技術截獲受害人短信驗證碼，從而完成盜刷等操作[1]。

手機短信驗證碼在驗證用戶身份時發揮的作用越來越大。注冊網站新賬號，需要短信驗證碼;通過手機銀行轉帳匯款，需要短信驗證碼;忘記密碼又想登錄網站，需要短信驗證碼等等。

網絡安全漏洞不容小覷。驗證碼前端可控屬于高危風險網絡安全漏洞，攻擊者通過已注冊該網站的手機號，再利用驗證碼前端可控漏洞獲得手機驗證碼，以該賬號進行網站登陸，從而獲取已登錄手機賬戶的敏感信息，甚至可以拿到整個服務器中的敏感數據。這樣不僅僅對網站用戶的數據安全造成極大威脅，對整個網站的數據庫都造成嚴重威脅，后果不堪設想。

一、事件經過

筆者一直從事對網站的網絡安全漏洞掃描工作，于2021年3月發現一起比較典型的驗證碼前端可控漏洞，供讀者參考。漏洞詳細情況如下：漏洞名稱為驗證碼前端可控漏洞;漏洞數量1個;漏洞等級為高危;漏洞URL地址為 https：//www.---.com/register/（“---”代表網站部分URL地址）。

驗證碼前端可控漏洞，就是當網站在驗證用戶手機號碼時，會有一個給手機號發送驗證碼的指令，該漏洞可以不經過手機直接獲取該驗證碼。

二、驗證過程

我們通過Web漏洞掃描工具，發現該網站下面的一個URL地址，存在驗證碼前端可控漏洞：https：//www.---.com/register/。下面我們對這個URL地址，進行漏洞驗證。

1.訪問主頁。我們首先打開網站主頁：https：//www.---.com/，并在主頁中點開“注冊/登錄”頁面，如圖1所示。

2.創建帳號。在圖1的“注冊/登錄”頁面中點擊“創建您的帳號”選項，進入創建帳號界面，如圖2所示。

3.抓取驗證碼請求包。在圖2中的創建帳號頁面中輸入需要驗證的手機號，點擊“獲取驗證碼”按鈕。

此時，我們使用Burp Suite工具抓取該請求的請求包數據。Burp Suite工具是一個用Java語言開發的高集成化滲透測試工具，集合了多種滲透測試組件，方便我們完成對web應用的滲透測試，前提是在Java環境中運行。在本次驗證過程中，我們需要用到的是Burp Suite工具中的Repeater模塊。在Repeater模塊中，我們可以手動修改請求參數，并重新發送請求數據，以幫助我們分析攔截到的請求信息。

通過Burp Suite工具抓取驗證碼請求包，我們可以看到在這個請求包中包含被驗證的手機號，以及send_code參數，即驗證碼為“4307”，如圖3所示。

點擊“send”按鈕，發送該請求，手機會收到一個驗證碼“4307”，如圖4所示，測試手機收到和在請求包中的驗證碼一樣。

到這一步，就已經存在問題了。即發送給手機的驗證碼，我們可以利用Burp Suite工具抓取到。假如我們知道某一個已經注冊該網站的手機號，就可以在不通過手機接收驗證碼的情況下獲取到驗證碼，進行登陸，進而獲取該用戶的信息，可能會造成嚴重的信息泄漏。

4.篡改驗證碼。我們也可以隨時對該網站的驗證碼進行篡改，在Repeater請求包中，比如我們將之前的驗證碼“4307”修改為“1111”，如圖5所示。然后點擊“send”按鈕發送該請求，手機同樣可以接收到驗證碼短信，如圖6所示，接收到的驗證碼已經變成了“1111”。

通過上面的驗證過程，我們可以得出結論，這個網站存在驗證碼前端可控的網絡安全漏洞，這種驗證碼顯示在前端的方式是非常危險的。

三、防護建議

杜絕驗證碼繞過這類漏洞，最主要的原則就是一定要做好邏輯規劃，確認邏輯過程沒有可被利用的地方，否則一旦出現這種邏輯類的先天缺陷，所有后續的限制防護只是徒勞。

這次我們發現的驗證碼前端可控漏洞，只是驗證碼繞過類漏洞的一種，其它種類的驗證碼繞過漏洞還有許多，比如有的網站驗證碼會在cookie信息中傳輸，有的驗證碼會在響應包中返回，這些問題都是在做短信驗證邏輯規則時沒有考慮完善所導致的。

存在了驗證碼繞過漏洞，網站就有可能受到各種類型的攻擊，如短信炸彈攻擊。因為網站未對短信驗證碼數量以及間隔時間進行限制，攻擊者通過滲透工具將短信驗證碼無限制發送，造成網站不可訪問。我們要對驗證碼繞過漏洞重視起來，避免由于一個點的疏忽導致整個網站系統的全面崩潰，主要從以下幾個方面進行防護。

1.修改前端驗證碼發送機制。驗證碼不能在客戶端進行驗證，需要在網站服務端進行驗證。

2.限制短信發送時間間隔。比如限制短信在指定時間的發送數量，一分鐘只允許發送一次，一天總共發送多少次，防止網站被大量請求訪問。

3.對客戶訪問ip地址進行限制。如果某一用戶ip對短信接口短時間內進行大量訪問，則對該用戶ip進行封禁，或間隔24小時后再允許訪問等機制。

4.用戶登錄網站時，添加圖片驗證碼，防止用戶帳號被爆破。

四、結束語

這次發現的網站驗證碼前端可控漏洞，通過漏洞驗證，我們不需要手機就可以獲得手機驗證碼，進而登錄網站，獲取用戶及網站信息。如果被惡意攻擊者利用該漏洞，獲取用戶數據，后果不堪設想。

黨的十八大以來，以習近平同志為核心的黨中央重視互聯網、發展互聯網、治理互聯網，統籌協調涉及政治、經濟、文化、社會、軍事等領域信息化和網絡安全重大問題，作出一系列重大決策、提出一系列重大舉措，推動網信事業取得歷史性成就[2] 。網絡安全無小事，必須做到防患于未然。

參? 考? 文? 獻

[1] 人民網. 深圳警方打掉一個新型盜刷銀行卡犯罪團伙. 2018-08-16 . http：//m.people.cn/n4/2018/0816/c3522-11460728.html;

[2] 中國習觀.網絡安全的重要性 習近平這些話擲地有聲. 2019-09-16. http：//guoqing.china.com.cn/2019zgxg/2019- 09/16/content_75211149.html？f=pad&a=true。