当前位置:首页 >  科技 >  移动互联 >  正文

安卓APP漏洞检测 验证码被重复利用漏洞分析与汇总

 2019-08-27 11:59  来源:A5用户投稿  我来投稿   websafe的个人主页 撤稿纠错

  短视频,自媒体,达人种草一站服务

在对客户网站以及APP进行安全检测的同时,我们SINE安全对验证码功能方面存在的安全问题,以及验证码漏洞检测有着十多年的经验,在整个APP,网站的安全方面,验证码又分2种,第一个是登陆的身份验证码,再一个对重要的操作进行的操作验证码,虽然从名字上都是验证码,但这两种所包含的内容是不一样的。

登陆身份验证码的功能是用来判断当前账户登陆是否是账户者本身,简单来说是判断是否是账户的拥有者,用验证码来效验,用户注册账号的时候都会填写手机号,那么手机号就作为身份唯一的证明,通过接收短信验证码来登陆网站,以及APP。重要操作方面的验证码,比如一些资金,提现,转币,充值,修改银行卡,牵扯资金类的重要操作,含有这个修改密码等等的属于操作类型的验证码,为的是防范别人盗用账户,对账户进行篡改,给账户拥有者带来损失,把握风控。

这两种验证码的功能都不一样,所以在对APP,网站进行安全检测的同时,查找出来的漏洞,以及发生的安全问题,都不一样。我们SINE安全工程师在对其他客户平台,APP进行测试总结下来的经验,来跟大家讲将验证码安全上的问题。

使用验证码为的就是提高APP安全,网站的安全性能,解决网站账户被暴力破解,频繁的API访问,重要操作上的验证码二次确认,防止恶意操作导致用户账户本身受损失,这些安全方面,都是为了区别开软件与人工,当用户被暴力破解,一般都是采用软件进行攻击操作,包括频繁的访问某一个API接口,也都是由软件实施,人工根本不可能实现。验证码安全检测,主要从以下几个方面进行测试:

验证码是否可以重复利用,验证码是否可被软件ocr文字自动识别,验证码是否被可以被绕过,验证码在一分钟内是否有数量的安全限制,验证码的生成规则是否可逆,输入验证码出错的次数是否会开启二次安全验证,根据近10年的安全测试经验,我们SINE安全统计发现验证码被重复利用,被自动识别这些漏洞是经常出现的,下面讲一下验证码被重复利用漏洞:

正常来讲验证码在设计过程都是与session值进行绑定,当session产生第一时间,验证码也会紧跟其后,也会直接生成与当前的session值进行双向的绑定。当用户访问APP,网站登录的时候,会自动加载验证码,登录请求到数据库进行查询比对,用户的账号密码是否正常,验证码也会判断是否正确,但这两个请求是分开来的,一个走数据库,一个走验证码,各尽其责。如果是可以先请求验证码,再请求数据库,这就导致安全问题的发生,APP的开发人员在设计的时候大多数考虑的是验证码是否输入正确,如果正确就通过,而忽略掉了可以调换业务流程的先后顺序,要判断登陆与验证码的请求是否同步,在这个细节上,导致验证码被重复利用。

我们在测试其他客户APP,网站的时候,用户登陆时候先输入验证码,验证码通过安全效验后,直接可以进行登陆用户账户与密码,在这个过程可以导致暴力破解的漏洞产生。

下一篇我们将会分享验证码被自动识别漏洞,希望我们的分享能给网站运营者与开发人员一些帮助,当在开发APP,网站验证码功能上一定要谨慎,根据我们分享的安全问题着重测试,并修复漏洞,完善网站的整体功能。

作者: websafe    /    文章:63篇

相关标签
安卓app
安全漏洞

申请创业报道,分享创业好点子。点击此处,共同探讨创业新机遇!

相关文章

  • CVE-2019-0193 apache 漏洞利用与安全防护方案

    apache最近爆出的漏洞越来越多,旗下的solr产品存在远程服务器执行恶意代码漏洞,该漏洞产生的主要原因是因为apachedataimporthandler数据外部收集的一个端口模块,该模块支持从远程的地址进行通信,并多数据进行收集,正因为开放了远程地址,可导致攻击者构造恶意的代码对DIH进行脚本

    标签:
    安全漏洞
  • 网站存在xss跨站漏洞的解决办法

    很多公司的网站维护者都会问,到底什么XSS跨站漏洞?简单来说XSS,也叫跨站漏洞,攻击者对网站代码进行攻击检测,对前端输入的地方注入了XSS攻击代码,并写入到网站中,使用户访问该网站的时候,自动加载恶意的JS代码并执行,通过XSS跨站漏洞可以获取网站用户的cookies以及seeion值,来窃取用户

  • 谷歌公布iOS漏洞:可通过iMessage发动攻击

    A5创业网(公众号:iadmin5)7月31日讯,据外媒报道,谷歌旗下安全团队ProjectZero的两名成员日前公布了影响iOS系统的6个“无交互”安全漏洞中其中5个的详细信息和演示用攻击代码。这些漏洞可通过iMessage对设备发动攻击。

  • Coremail主动公开最新漏洞

    近日,网上关于Coremail论客邮件系统的安全漏洞问题持续发酵,在向Coremail相关安全负责人求证后证实:目前网上所提及的安全漏洞问题均为Coremail自查发现,并已提供完善的修复解决方案的问题引起。

  • Windows RDP远程漏洞可致蓝屏 安全狗提醒您注意防范

    2019年5月14日,微软发布了远程桌面服务远程代码执行漏洞(CVE-2019-0708)安全公告后,全球安全圈都持续密切关注,这一漏洞的存在将允许黑客通过开放的远程桌面服务直接入侵系统,执行任意命令。

    标签:
    安全漏洞
    微软
  • “疫情后看中国5G发展”系列报道 | 泰迪熊移动COO叶松专访

    当前,中国正遭受重大新型冠状病毒肺炎疫情影响,企业生产与经营受到冲击。“移”起战疫,GSMA各会员单位正利用科技力量为疫情防控构筑坚固信息防线以及核心通信网络保障。

    标签:
    5g网络
    5g技术
  • 华为5G消息商用 可发视频

    华为表示,支持移动5G消息业务,3月已入场试点大区启动联调测试,4月10日计划打通FirstCall,6月支持5G消息商用。中兴也表示,近日,中兴通讯助力中国移动在杭州成功打通了基于GSMAUP2.4标准的5G消息firstcall,标志着国内5G消息商用进入正式倒计时。

  • 主播招募怎么选?星盟娱乐公会联盟助力秀场直播孵化

    疫情之下,让不少人选择直播来成为自己的第二职业,移动互联网的发展可以带来无限可能,直播和小视频就是最汹涌的浪潮之一,它甚至把网红主播催生成了一个新型的职业。而对于这些主播,有人说她们把握到了发展的脉搏,成为了互联网的宠儿。

  • 年年盈利,中国领先5G全息AI视觉之一Wimi微美全息IPO美国上市

    在世界移动大会上,中国联通展示了基于现实增强技术的5G全息通讯系统,在大会上引起了多方关注。据悉,该系统依托于联通5G网络,以AR设备为载体,搭配上定制应用软件,有机会实现远程工业制造、远程现场勘探、高精尖技术维修质检

    标签:
    5g网络
    5g技术
  • 百度APP因部分频道内容违规被要求整改

    了解到,网信办之所以要求百度APP整改是因为发现百度APP部分频道发布违规内容还有过多“标题党”文章,所以要求百度APP推荐频道、图片频道、视频频道、财经频道、科技频道即刻停止更新,清理违规内容,自己内部开展审核整改。

    标签:
    百度
    百度app
  • 百度App部分频道自2020年4月8日9:00起停止更新

    A5创业网(公众号:iadmin5)4月8日讯,据网信办消息显示,百度App部分频道自2020年4月8日9:00起停止更新,清理违规内容,开展深入整改。据网信办相关负责人表示,百度APP违反国家有关互联网法律法规和管理要求,落实主体责任不力,大量传播低俗庸俗信息、密集发布“标题党”文章、公众账号注册

    标签:
    百度app
榜单

热门排行

信息推荐

扫一扫关注最新创业资讯