– “隱患險(xiǎn)于明火，防范勝于救災(zāi)，責(zé)任重于泰山”

前言

本文詳細(xì)介紹了針對(duì)發(fā)送短信驗(yàn)證碼接口的安全性測(cè)試過(guò)程，包含思路、部分測(cè)試代碼已經(jīng)測(cè)試結(jié)果。
本次測(cè)試網(wǎng)站 —開(kāi)課吧（kaikeba.com）
開(kāi)課吧是一家在線教育平臺(tái)。

一丶找到對(duì)外短信接口

從該網(wǎng)站注冊(cè)入口可以發(fā)現(xiàn)，也是通過(guò)發(fā)送手機(jī)短信驗(yàn)證碼來(lái)完成注冊(cè)。

二丶分析外部防御措施

1. 輸入手機(jī)號(hào)
   
   外部防御措施：無(wú)

三丶查看請(qǐng)求報(bào)文

1. 找到發(fā)送短信的請(qǐng)求

按下F12打開(kāi)瀏覽器控制臺(tái)，再次點(diǎn)擊發(fā)送驗(yàn)證碼按鈕通過(guò)控制臺(tái)找出發(fā)送短信的請(qǐng)求。

2. 查看請(qǐng)求方式

3. 查看請(qǐng)求報(bào)文頭

4. 查看請(qǐng)求參數(shù)

identify_code為圖片驗(yàn)證碼的值
5. 查看返回值

四丶分析測(cè)試

1. 分析測(cè)試要點(diǎn)

• 請(qǐng)求為post請(qǐng)求

2. 編寫(xiě)代碼模擬請(qǐng)求進(jìn)行測(cè)試

接著利用Java模擬報(bào)文請(qǐng)求 ，進(jìn)行測(cè)試。部分代碼如下：

//配置請(qǐng)求頭
			inheads.put("Content-Type", "application/json");
		inheads.put("Origin", "https://www.kaikeba.com");
		inheads.put("Accept", "*/*");
		inheads.put("Accept-Encoding", "gzip, deflate, br");
		inheads.put("Accept-Language", "zh-CN,zh;q=0.9,en-US;q=0.8,en;q=0.7");
		inheads.put("User-Agent",
				"Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/77.0.3865.120 Safari/537.36");
		inheads.put("Referer", "https://www.kaikeba.com/");
		getCookie(cookieStore, httpclient, "https://www.kaikeba.com/", inheads, outheads);
		String cookieStr = GetCookieHead.CookieHashToString(outheads);
		if (cookieStr != null) {
			inheads.put("Cookie", cookieStr);
		}

//配置請(qǐng)求參數(shù)
JSONObject params = new JSONObject();
		params.put("auth_ticket", "");
		params.put("mobile", phone);
		params.put("type", 1);

//配置請(qǐng)求
		httpclient = createSSLClientDefault();
		retEntity = this.userClick(httpclient, cookieStore, "post", smsUrl, inheads, outheads, input, phone);
		closeHttpClient(httpclient);

啟動(dòng)測(cè)試：

1次：

手機(jī)號(hào)碼唯一，IP唯一：

10次 --間隔時(shí)間1秒：

五丶結(jié)果分析

測(cè)試目標(biāo)：

針對(duì)發(fā)送短信驗(yàn)證碼接口進(jìn)行安全性測(cè)試。

測(cè)試思路：

1.找到請(qǐng)求接口
2.分析請(qǐng)求報(bào)文
3.模擬請(qǐng)求測(cè)試

測(cè)試結(jié)果：

無(wú)限制

測(cè)試結(jié)論：

當(dāng)遇到打碼更換手機(jī)號(hào)以及IP的攻擊時(shí)，該網(wǎng)站的所有防御措施均無(wú)效。

風(fēng)險(xiǎn)等級(jí)： 極高

六丶結(jié)語(yǔ)

很多人在短信服務(wù)剛開(kāi)始建設(shè)的階段，可能不會(huì)在安全方面考慮太多，理由有很多。
比如：“ 需求這么趕，當(dāng)然是先實(shí)現(xiàn)功能啊 ”，“ 業(yè)務(wù)量很小啦，系統(tǒng)就這么點(diǎn)人用，不怕的 ” ， “ 我們?cè)趺磿?huì)被盯上呢，不可能的 ”等等。

有一些理由雖然有道理，但是該來(lái)的總是會(huì)來(lái)的。前期欠下來(lái)的債，總是要還的。越早還，問(wèn)題就越小，損失就越低。

所以大家在安全方面還是要重視。（血淋淋的栗子?。?a style="box-sizing: border-box; text-decoration-line: none; background-color: transparent; color: #4ea1db;" >#安全短信#

戳這里→康康你手機(jī)號(hào)在過(guò)多少網(wǎng)站注冊(cè)過(guò)?。?！

谷歌圖形驗(yàn)證碼在AI 面前已經(jīng)形同虛設(shè)，所以谷歌宣布退出驗(yàn)證碼服務(wù)， 那么當(dāng)所有的圖形驗(yàn)證碼都被破解時(shí)，大家又該如何做好防御呢？

>>相關(guān)閱讀
《騰訊防水墻滑動(dòng)拼圖驗(yàn)證碼》
《百度旋轉(zhuǎn)圖片驗(yàn)證碼》
《網(wǎng)易易盾滑動(dòng)拼圖驗(yàn)證碼》
《頂象區(qū)域面積點(diǎn)選驗(yàn)證碼》
《頂象滑動(dòng)拼圖驗(yàn)證碼》
《極驗(yàn)滑動(dòng)拼圖驗(yàn)證碼》
《使用深度學(xué)習(xí)來(lái)破解 captcha 驗(yàn)證碼》
《驗(yàn)證碼終結(jié)者-基于CNN+BLSTM+CTC的訓(xùn)練部署套件》