短信验证码接口攻击(短信轰炸)原理分析

  • 内容
  • 相关

短信验证码接口非常容易遭受互联网恶意攻击——“短信轰炸”,该攻击通过循环利用不同业务中的无需注册即可向任意手机号发送短信验证码的正常业务需求(如用户注册、密码修改等),向多个手机号码同时连续发送大量的验证短信,对用户造成困扰。下面对短信轰炸的原理进行具体分析,进而制定相应的安全防护方案。

短信轰炸原理

短信轰炸一般基于 WEB 方式,其由两个模块组成,包括:一个前端 Web 网页,提供输入被攻击者手机号码的输入窗口;一个后台攻击页面(如 PHP),利用从各个网站上找到的短信验证码 URL 和前端输入的被攻击者手机号码,发送 HTTP 请求,每次请求给用户发送一条短信验证码。利用这两个模块实施“短信轰炸”攻击,原理具体分析如下:

  • 恶意攻击者在前端页面(下图所示 )中输入被攻击者的手机号;
  • 短信轰炸后台服务器,将该手机号与互联网收集的可不需要经过认证即可发送短信的 URL 进行组合,形成可发送验证码短信的 URL 请求;
  • 通过后台请求页面,伪造用户的请求发给不同的业务服务器;
  • 业务服务器收到该请求后,发送短信验证码到被攻击用户的手机上。过程如下图所示。 

 

短信轰炸实例分析

用户在某短信轰炸软件上输入被攻击手机号、攻击的次数后,对被攻击的手机号进行攻击的源码如下图所示。

 

本文标签:

版权声明:若无特殊注明,本文皆为《道言》原创,转载请保留文章出处。

本文链接:短信验证码接口攻击(短信轰炸)原理分析 - https://www.qqdaoyan.com/post-530.html

发表评论

电子邮件地址不会被公开。 必填项已用*标注