0x07加固建議

0x01 等保測(cè)評(píng)項(xiàng)

GBT 22239-2019《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》中，8.1.4.4安全計(jì)算環(huán)境—入侵防范項(xiàng)中要求包括：a）應(yīng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序；b）應(yīng)關(guān)閉不需要的系統(tǒng)服務(wù)、默認(rèn)共享和高危端口；c）應(yīng)通過(guò)設(shè)定終端接入方式或網(wǎng)絡(luò)地址范圍對(duì)通過(guò)網(wǎng)絡(luò)進(jìn)行管理的管理終端進(jìn)行限制；d）應(yīng)提供數(shù)據(jù)有效性檢驗(yàn)功能，保證通過(guò)人機(jī)接口輸入或通過(guò)通信接口輸入的內(nèi)容符合系統(tǒng)設(shè)定要求；e）應(yīng)能發(fā)現(xiàn)可能存在的已知漏洞，并在經(jīng)過(guò)充分測(cè)試評(píng)估后，及時(shí)修補(bǔ)漏洞；f）應(yīng)能夠檢測(cè)到對(duì)重要節(jié)點(diǎn)進(jìn)行入侵的行為，并在發(fā)生嚴(yán)重入侵事件時(shí)提供報(bào)警。驗(yàn)證碼缺失/繞過(guò)對(duì)應(yīng)訪問(wèn)控制項(xiàng)中要求e），所以安全控制點(diǎn)為入侵防范e。

GBT 28448-2019《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求》中，測(cè)評(píng)單元（L3-CES1-21） 該測(cè)評(píng)單元包括以下要求: a）測(cè)評(píng)指標(biāo)：應(yīng)能發(fā)現(xiàn)可能存在的已知漏洞，并在經(jīng)過(guò)充分測(cè)試評(píng)估后，及時(shí)修補(bǔ)漏洞。；b）測(cè)評(píng)對(duì)象：終端和服務(wù)器等設(shè)備中的操作系統(tǒng)（包括宿主機(jī)和虛擬主機(jī)操作系統(tǒng)）、網(wǎng)絡(luò)設(shè)備（包括虛擬網(wǎng)絡(luò)設(shè)備）、安全設(shè)備（包括虛擬安全設(shè)備）、移動(dòng)終端、移動(dòng)終端管理系統(tǒng)、移動(dòng)終端管理客戶端、感知節(jié)點(diǎn)設(shè)備、網(wǎng)關(guān)節(jié)點(diǎn)設(shè)備、控制設(shè)備、業(yè)務(wù)應(yīng)用系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)、中間件和系統(tǒng)管理軟件等。c）測(cè)評(píng)實(shí)施包括以下內(nèi)容：1）應(yīng)通過(guò)漏洞掃描、滲透測(cè)試等方式核查是否不存在高危風(fēng)險(xiǎn)漏洞；2）應(yīng)核查是否在經(jīng)過(guò)充分測(cè)試評(píng)估后及時(shí)修補(bǔ)漏洞；d）單元判定：如果1）和2）均為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合或部分符合本測(cè)評(píng)單元指標(biāo)要求驗(yàn)證碼缺失/繞過(guò)屬于測(cè)評(píng)單元（L3-CES1-21）中測(cè)評(píng)實(shí)施的第1項(xiàng)，故定測(cè)評(píng)單元為L(zhǎng)3-CES1-21.1。

0x02 測(cè)試內(nèi)容

通過(guò)攔截調(diào)用驗(yàn)證碼處相關(guān)數(shù)據(jù)包，如登錄功能、密碼找回、留言提交等處，測(cè)試驗(yàn)證碼是否有效，是否可以進(jìn)行繞過(guò)或重復(fù)利用。

0x03 漏洞原理

驗(yàn)證碼是什么

驗(yàn)證碼是一種區(qū)分用戶是計(jì)算機(jī)還是人的公共自動(dòng)程序。這個(gè)問(wèn)題可以由計(jì)算機(jī)生成并評(píng)判，但是必須只有人類(lèi)才能解答。由于計(jì)算機(jī)無(wú)法解答驗(yàn)證碼的問(wèn)題，所以回答出問(wèn)題的用戶就可以被認(rèn)為是人類(lèi)。

驗(yàn)證碼有中文字、純數(shù)字、英文字母、點(diǎn)擊字符串、圖片圖形、數(shù)學(xué)運(yùn)算等等。

驗(yàn)證碼的作用

?進(jìn)行人機(jī)校驗(yàn)；

?驗(yàn)證使用者身份，判斷當(dāng)前賬戶使用者是否是賬戶的擁有者；

?防止惡意的IP頻繁訪問(wèn)；

?防止惡意操作導(dǎo)致用戶本身受損失；

?防止暴力破解；

?防止惡意灌水；

?防止刷票；

驗(yàn)證碼分類(lèi)常見(jiàn)的驗(yàn)證碼有：短信驗(yàn)證碼、語(yǔ)音驗(yàn)證碼、圖文驗(yàn)證碼、數(shù)字驗(yàn)證碼等等。形式多樣核心內(nèi)容一致，根據(jù)形式的不同就有了分門(mén)別類(lèi)的應(yīng)用。具體可看之前寫(xiě)的文章《滲透遇見(jiàn)驗(yàn)證碼，跑路？or 拿下它？》。

根據(jù)作用可分為以下兩種：

?區(qū)分用戶是計(jì)算機(jī)還是人的公共全自動(dòng)程序，比如Google登錄時(shí)的驗(yàn)證碼、12306圖片識(shí)別的點(diǎn)擊式驗(yàn)證碼等。

?識(shí)別身份的驗(yàn)證碼，用于識(shí)別用戶是否為賬號(hào)的所有者，比如短信驗(yàn)證碼、郵箱驗(yàn)證碼、電話驗(yàn)證碼等。

驗(yàn)證碼繞過(guò)

驗(yàn)證碼大致可通過(guò)以下兩種思路進(jìn)行繞過(guò)

1. 識(shí)別法：腳本+深度學(xué)習(xí)、神經(jīng)網(wǎng)絡(luò)的知識(shí)；

2. 邏輯繞過(guò)，開(kāi)發(fā)人員寫(xiě)驗(yàn)證碼校驗(yàn)代碼時(shí)產(chǎn)生邏輯錯(cuò)誤。

無(wú)驗(yàn)證碼

應(yīng)用登錄功能未設(shè)置驗(yàn)證碼校驗(yàn)機(jī)制，且無(wú)登錄失敗次數(shù)過(guò)多鎖定策略，這種情況下可直接嘗試進(jìn)行暴力破解。

驗(yàn)證碼為空值

有驗(yàn)證碼機(jī)制，但是在請(qǐng)求包中將驗(yàn)證碼參數(shù)刪除，服務(wù)器端就不進(jìn)行驗(yàn)證碼校驗(yàn)，會(huì)直接校驗(yàn)賬戶、密碼；或者雖然頁(yè)面中顯示有驗(yàn)證碼機(jī)制，但在不填寫(xiě)驗(yàn)證碼直接輸入用戶名、密碼的情況下，可直接登錄，存在爆破風(fēng)險(xiǎn)。

萬(wàn)能驗(yàn)證碼

0000、1111、8888、000000、123456等，一般多出現(xiàn)于設(shè)備、硬件設(shè)備。

驗(yàn)證碼藏于Cookie中

一般情況下系統(tǒng)會(huì)將驗(yàn)證碼的值用Session存儲(chǔ)起來(lái)，再通過(guò)對(duì)比用戶提交的驗(yàn)證碼和Session中的驗(yàn)證，就可以知道用戶輸入的是否正確. 但由于Session 會(huì)占用服務(wù)器資源，有些程序員會(huì)將驗(yàn)證碼的值加密后存儲(chǔ)在Cookie中。針對(duì)這種情況，攻擊者可以通過(guò)抓取登錄數(shù)據(jù)包，分析包中的Cookie字段，查看其中有沒(méi)有相匹配的驗(yàn)證碼或者是經(jīng)過(guò)簡(jiǎn)單加密后的驗(yàn)證碼。

驗(yàn)證碼隱藏于源碼中

記住驗(yàn)證碼，打開(kāi)網(wǎng)站源碼，用Ctrl+F搜索，如果搜索到剛才輸入的驗(yàn)證碼，就說(shuō)明驗(yàn)證碼被隱藏于源碼中，接下來(lái)就可以使用工具提取源碼中的驗(yàn)證碼并將其放入每次的請(qǐng)求包中，對(duì)用戶名、密碼進(jìn)行破解。

前端校驗(yàn)驗(yàn)證碼

前端對(duì)驗(yàn)證碼進(jìn)行校驗(yàn)，相當(dāng)于沒(méi)有設(shè)置驗(yàn)證碼，可通過(guò)抓包查看是否有驗(yàn)證碼傳參，或禁用JS進(jìn)行繞過(guò)。

驗(yàn)證碼未進(jìn)行校驗(yàn)

代碼雖設(shè)置有驗(yàn)證碼模塊，但未對(duì)驗(yàn)證碼進(jìn)行校驗(yàn)，隨機(jī)輸入就可驗(yàn)證成功；

驗(yàn)證碼可控

某些系統(tǒng)獲取驗(yàn)證碼的方式為通過(guò)參數(shù)的方式去加載，比如http://www.123.com/yanzhengma.php?code=**** 等，攻擊者就可以嘗試將參數(shù)code的值改為undefined，即設(shè)為控制；也可以通過(guò)便便攜腳本的方式獲取驗(yàn)證碼并傳入驗(yàn)證流程。

驗(yàn)證碼重復(fù)使用

應(yīng)用程序設(shè)置了驗(yàn)證碼校驗(yàn)機(jī)制，但是驗(yàn)證碼可重復(fù)使用，沒(méi)有過(guò)期限制，相當(dāng)于無(wú)驗(yàn)證機(jī)制。一般是在某一段時(shí)間內(nèi)，無(wú)論登錄失敗多少次，只要不刷新頁(yè)面或者不刷新驗(yàn)證碼，就可以無(wú)限次的使用同一個(gè)驗(yàn)證碼來(lái)對(duì)一個(gè)或多個(gè)用戶帳號(hào)進(jìn)行暴力猜解。換句話說(shuō)，攻擊者可以在同一個(gè)會(huì)話下，在獲得第一個(gè)驗(yàn)證碼后，后面不再主動(dòng)觸發(fā)驗(yàn)證碼生成頁(yè)面，并且一直使用第一個(gè)驗(yàn)證碼就可循環(huán)進(jìn)行后面的表單操作，從而繞過(guò)了驗(yàn)證碼的校驗(yàn)作用，對(duì)登錄進(jìn)行暴力猜解。

驗(yàn)證碼有規(guī)律

驗(yàn)證碼有生成規(guī)則而非隨機(jī)驗(yàn)證碼，比如某些系統(tǒng)會(huì)設(shè)置驗(yàn)證碼為時(shí)間戳的后6位。

驗(yàn)證碼包含于返回包中

由于開(kāi)發(fā)在寫(xiě)代碼時(shí)不嚴(yán)謹(jǐn)導(dǎo)致通過(guò)抓包可在返回包中查看以明文或者簡(jiǎn)單加密的驗(yàn)證碼，這種情況相當(dāng)于驗(yàn)證碼直接返回，攻擊者可利用此漏洞進(jìn)行任意賬戶注冊(cè)、任意用戶密碼重置、修改綁定信息等。

驗(yàn)證碼可識(shí)別

若驗(yàn)證碼過(guò)于簡(jiǎn)單，就可以使用工具對(duì)圖案進(jìn)行識(shí)別，比如驗(yàn)證碼識(shí)別工具Pkav HTTP Fuzzer。

驗(yàn)證碼輸出至HTML頁(yè)面

應(yīng)用程序登錄功能、找回密碼等處設(shè)置了短信/郵件驗(yàn)證碼校驗(yàn)機(jī)制，但驗(yàn)證機(jī)制存在問(wèn)題，發(fā)送的驗(yàn)證碼直接輸出到客戶端HTML頁(yè)面。

0x04 代碼示例

Pikachu漏洞練習(xí)平臺(tái)驗(yàn)證碼繞過(guò)（on server） 源碼vulurteforcef_server.php文件中，在用戶名、密碼和驗(yàn)證碼均不為空的情況下判斷輸入驗(yàn)證碼是否與生成后保存在session中的驗(yàn)證碼相同，但比較完后并沒(méi)有刪除該session，導(dǎo)致下一個(gè)數(shù)據(jù)包輸入該驗(yàn)證碼也會(huì)判斷正確，出現(xiàn)驗(yàn)證碼重復(fù)使用漏洞。

0x05 測(cè)試案例

測(cè)試案例1

驗(yàn)證碼有條件不刷新某些時(shí)候會(huì)有這種情況：用戶在登錄失敗后，系統(tǒng)會(huì)打開(kāi)一個(gè)新的頁(yè)面或者出現(xiàn)彈窗，提示用戶登錄失敗，點(diǎn)擊“確定”后返回登錄界面，驗(yàn)證碼也會(huì)刷新。但是這種情況下，只要我們不關(guān)閉新窗口、彈窗，直接使用BurpSuite截取登錄請(qǐng)求包，先發(fā)送至Repeater模塊，多“Go”幾次，看看會(huì)不會(huì)返回“驗(yàn)證碼錯(cuò)誤”的提示信息，如果依舊返回“密碼錯(cuò)誤”則說(shuō)明驗(yàn)證碼不進(jìn)行刷新。再將數(shù)據(jù)包發(fā)送到Intruder模塊，把密碼設(shè)為變量再進(jìn)行MD5編碼，就可直接爆破了。

不點(diǎn)擊【確定】

多Go幾次，判斷驗(yàn)證碼是否會(huì)刷新。

將密碼編碼，爆破。

從返回包中可以看到仍舊提示“密碼錯(cuò)誤”，驗(yàn)證碼是不失效的。正常使用的時(shí)候，直接上弱口令字典跑就是，跟平常的爆破操作一樣。（為寫(xiě)文章隨變寫(xiě)了幾個(gè)弱口令進(jìn)行測(cè)試截圖）

測(cè)試案例2

驗(yàn)證碼識(shí)別抓包查看此系統(tǒng)未采用前端校驗(yàn)驗(yàn)證碼，多次刷新驗(yàn)證碼發(fā)現(xiàn)驗(yàn)證碼易識(shí)別，決定采用識(shí)別工具進(jìn)行識(shí)別爆破。

右鍵復(fù)制驗(yàn)證碼地址

使用Pkav工具進(jìn)行驗(yàn)證碼識(shí)別。

確認(rèn)可以正常識(shí)別驗(yàn)證碼后，對(duì)賬號(hào)、密碼進(jìn)行爆破。

0x06 風(fēng)險(xiǎn)分析

?在資金提現(xiàn)、轉(zhuǎn)賬、充值、修改銀行卡、修改密碼等的重要操作，驗(yàn)證碼可以啟到防賬戶盜用、篡改賬戶、的作用；

?如果網(wǎng)站有提交表單的功能，并且需要由站點(diǎn)管理員審核才可通過(guò)，惡意用戶會(huì)產(chǎn)生大量的垃圾表單，影響網(wǎng)站訪問(wèn)速度，加大工作量，且合法用戶的請(qǐng)求有可能會(huì)因此被拒絕服務(wù)；

?惡意用戶可利用程序發(fā)送短信/郵件的功能，發(fā)送大量垃圾郵件/短信，造成短信/郵件轟炸，影響用戶體驗(yàn)及站點(diǎn)短信服務(wù)過(guò)度消費(fèi)；

?通常在網(wǎng)站的用戶注冊(cè)、密碼找回、登錄等頁(yè)面處使用驗(yàn)證碼，但當(dāng)這些驗(yàn)證碼具有一定的規(guī)律性并且沒(méi)有做好對(duì)應(yīng)的防護(hù)措施時(shí)會(huì)導(dǎo)致攻擊者通過(guò)爆破等方式猜解/繞過(guò)驗(yàn)證碼機(jī)制，可導(dǎo)致任意用戶注冊(cè)、批量注冊(cè)無(wú)用賬戶、重置任意用戶密碼、獲取系統(tǒng)權(quán)限等危害。

?系統(tǒng)易遭受DDOS攻擊；

?機(jī)器人自動(dòng)批量注冊(cè)；

?對(duì)特定的注冊(cè)用戶用特定程序爆破方式進(jìn)行不斷的登錄、“灌水”、“刷單”、短信/電子郵件轟炸等；

0x07 加固建議

1. 不要把驗(yàn)證方式置于前端，手機(jī)號(hào)和短信驗(yàn)證碼在服務(wù)端進(jìn)行唯一性綁定驗(yàn)證；

2. 在服務(wù)端限制短信驗(yàn)證碼發(fā)送周期，設(shè)置時(shí)效性，限制發(fā)送次數(shù)；

3. 封禁的應(yīng)該是惡意請(qǐng)求的手機(jī)號(hào)而不是IP地址，對(duì)一天內(nèi)每一個(gè)手機(jī)號(hào)獲得的驗(yàn)證碼次數(shù)進(jìn)行限制；

4. 手機(jī)驗(yàn)證碼生成6位或者以上的數(shù)字+字母組合的驗(yàn)證碼，并且保證用后即失效；

5. 禁止用戶自定義短信內(nèi)容；

6. 在服務(wù)器進(jìn)行有效驗(yàn)證，手機(jī)號(hào)和驗(yàn)證碼在服務(wù)器進(jìn)行唯一性綁定驗(yàn)證等。

審核編輯 ：李倩