公司的商城網站剛上線運營不到一個星期,網站就被***了,導致公司網站的短信通道被人惡意刷了幾萬條短信,損失較大,同時服務器也遭受到了前所未有的***。CPU監控看到網站在被盜刷短信驗證碼的時候,CPU一直保持在%95,網站甚至有些時候都無法打開。
網站被***後我登錄了阿里雲進去看了下,受到了很多阿里雲提示的安全提醒,阿里雲竟然沒有給我攔截,我打電話諮詢阿里雲,阿里雲竟然說我沒有購買他們的雲防火牆,阿里雲客服還一再的推銷讓我們公司購買他們的雲防火牆來防止短信驗證碼***,本身我也是做技術出身的,還是懂一些代碼以及安全方面的,公司領導立即開會研究這個問題該如何解決,任命我帶頭負責處理此次的安全問題。
首先關於網站短信驗證碼被盜刷,從多個層面去分析漏洞產生的原因,基礎帶寬線路層,服務器層,網站層,三個方面去分析解決問題。
基礎帶寬應用層是:像DDOS,CC,帶寬流量的***屬於基礎帶寬,如果網站遭受到***,網站打不開,打開無法顯示一般都是基礎帶寬應用層受到了***,防禦辦法也是通過高防服務器的硬防來防止***,但是也會造成誤封,多層流量清洗防止***。
服務器層面,服務器被***的話,一般也會造成短信驗證碼盜刷,***者***服務器,並在服務器裏直接與短信驗證碼平臺通信發送數據,多頻率的發送,修改數據庫,都會造成短信驗證碼的盜刷。
網站層,經過多年的技術開發與安全接觸,短信驗證碼被盜刷,都是網站存在漏洞導致的,尤其寫的代碼並沒有對請求的次數,以及請求的函數,請求IP,進行安全過濾,這次公司商城網站被盜刷短信很大一部分原因是代碼上的漏洞,代碼開發有問題,先從代碼入手查看問題,檢查了所有關於獲取短信驗證碼調用的代碼,在一個會員找回密碼功能這裏,我們發現了問題,代碼裏竟然沒有對請求的次數,頻率,IP,進行限制,導致***者利用該頁面功能,POST僞造函數多次請求找回密碼頁面,導致短信被刷,瞬時間服務器都會遭受壓力,CPU達到百分之95.針對這個漏洞,我們對代碼漏洞進行了修復,限制請求次數,頻率,手機號碼唯一性判斷,IP判斷驗證等等的安全策略來阻止短信驗證碼被盜刷。
至此短信被盜刷的問題得以解決,網站代碼的開發環節真的很重要,在網站上線之前一定要對網站的安全進行測試,許多程序員在開發代碼的時候只顧功能並不會考慮到安全問題,甚至有些程序員的安全意識很薄弱,導致代碼出現sql注入漏洞,XSS跨站漏洞,數據庫漏洞,等等問題,如果不懂如何修復網站漏洞,也可以找專業的網站安全公司來處理,國內也就Sinesafe和綠盟、啓明星辰等安全公司比較專業.