– “隱患險(xiǎn)于明火，防范勝于救災(zāi)，責(zé)任重于泰山”

前言

本文詳細(xì)介紹了針對發(fā)送短信驗(yàn)證碼接口的安全性測試過程，包含思路、部分測試代碼已經(jīng)測試結(jié)果。
本次測試網(wǎng)站 —學(xué)府考研（xuefu.com）
學(xué)府考研是一家考研教育平臺。

一丶找到對外短信接口

從該網(wǎng)站注冊入口可以發(fā)現(xiàn)，也是通過發(fā)送手機(jī)短信驗(yàn)證碼來完成注冊。

二丶分析外部防御措施

1. 輸入手機(jī)號發(fā)送驗(yàn)證碼
   

外部防御措施：無

三丶查看請求報(bào)文

1. 找到發(fā)送短信的請求

按下F12打開瀏覽器控制臺，再次點(diǎn)擊發(fā)送驗(yàn)證碼按鈕通過控制臺找出發(fā)送短信的請求。

2. 查看請求方式

3. 查看請求報(bào)文頭

4. 查看請求參數(shù)

5. 查看返回值

四丶分析測試

1. 分析測試要點(diǎn)

• 無任何防御措施，可直接發(fā)送報(bào)文

2. 編寫代碼模擬請求進(jìn)行測試

接著利用Java模擬報(bào)文請求 ，進(jìn)行測試。部分代碼如下：

//配置請求頭
		inheads.put("Host", "www.xuefu.com");
		inheads.put("User-Agent", "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0.3770.142 Safari/537.36");
		inheads.put("Accept", "*/*");
		inheads.put("X-Requested-With", "XMLHttpRequest");

//配置請求參數(shù)
		List<BasicNameValuePair> paramsList = new ArrayList<BasicNameValuePair>();
		paramsList.add(new BasicNameValuePair("mobile", phone));

//配置請求
		retEntity = this.userClick(httpclient, cookieStore, "post", smsUrl, inheads, outheads, input, phone);

啟動(dòng)測試：

1次：

手機(jī)號碼唯一，IP唯一：

10次 --間隔時(shí)間1秒：

五丶結(jié)果分析

測試目標(biāo)：

針對發(fā)送短信驗(yàn)證碼接口進(jìn)行安全性測試。

測試思路：

1.找到請求接口
2.分析請求報(bào)文
3.模擬請求測試

測試結(jié)果：

無限制

測試結(jié)論：

當(dāng)遇到打碼更換手機(jī)號以及IP的攻擊時(shí)，該網(wǎng)站的所有防御措施均無效。

風(fēng)險(xiǎn)等級： 極高

六丶結(jié)語

很多人在短信服務(wù)剛開始建設(shè)的階段，可能不會(huì)在安全方面考慮太多，理由有很多。
比如：“ 需求這么趕，當(dāng)然是先實(shí)現(xiàn)功能啊 ”，“ 業(yè)務(wù)量很小啦，系統(tǒng)就這么點(diǎn)人用，不怕的 ” ， “ 我們怎么會(huì)被盯上呢，不可能的 ”等等。

有一些理由雖然有道理，但是該來的總是會(huì)來的。前期欠下來的債，總是要還的。越早還，問題就越小，損失就越低。

所以大家在安全方面還是要重視。（血淋淋的栗子?。?a style="box-sizing: border-box; text-decoration-line: none; background-color: transparent; color: #4ea1db;" >#安全短信#

戳這里→康康你手機(jī)號在過多少網(wǎng)站注冊過?。?！

谷歌圖形驗(yàn)證碼在AI 面前已經(jīng)形同虛設(shè)，所以谷歌宣布退出驗(yàn)證碼服務(wù)， 那么當(dāng)所有的圖形驗(yàn)證碼都被破解時(shí)，大家又該如何做好防御呢？

>>相關(guān)閱讀
《騰訊防水墻滑動(dòng)拼圖驗(yàn)證碼》
《百度旋轉(zhuǎn)圖片驗(yàn)證碼》
《網(wǎng)易易盾滑動(dòng)拼圖驗(yàn)證碼》
《頂象區(qū)域面積點(diǎn)選驗(yàn)證碼》
《頂象滑動(dòng)拼圖驗(yàn)證碼》
《極驗(yàn)滑動(dòng)拼圖驗(yàn)證碼》
《使用深度學(xué)習(xí)來破解 captcha 驗(yàn)證碼》
《驗(yàn)證碼終結(jié)者-基于CNN+BLSTM+CTC的訓(xùn)練部署套件》