之前我就反映了短信登录存在致命漏洞,官方不引起重视。昨天我朋友测试了下官方的短信验证码,直接把你们官方一号通的验证码全部刷没了。
自己登录https://beta-pro.crmeb.net/admin 这个后台,看看是不是一号通4万条短信为0了。并且很多158开头的手机号。
账号:admin
密码:crmeb.com
作为懂点网络安全的我老早就反映了这个问题,官方不信。真正攻击你的话4万条短信,只需要5分钟就给你弄光。
现在的问题修复方案:
1.最重要的第一点,增加腾讯滑块验证码(https://cloud.tencent.com/document/product/1110/36841)web端接入,网页和APP都能用。不要自己搞个滑块(官方管理登录的时候有个滑块,结果就是自欺欺人的本地验证。专业的安全别再马虎了)再次强调,一定要有验证码,自己去看看哪个大厂对短信的时候没有验证码的。否则肯定可以破解并且盗刷你的
2.修复单ip限制,官方现在嘴上说短信有限制IP,经过测试是没卵用的。根本不需要挂代理IP就可以了。但是即便你限制IP,只要我有足够的肉鸡再挂上代理IP,依旧可以盗刷。所以一定要有验证码!IP限制理应是一号通提供的,弄不了的话就赶快接入个腾讯验证码,腾讯已经有现成的配置了
3.在请求短信验证码的前端增加动态密钥,请求时每次密钥都是不一样的,密钥需与后端一致才能成功。并对这串逻辑进行混淆加密
注意:经过以上就能把客户端的盗刷问题解决了,但是管理后台也有个手机号登陆,这个也要处理,否则这里也是突破口。
顺带吐槽了,之前还反映了余额充值不支持支付宝的问题(https://q.crmeb.com/thread/11766?postId=127413),官方虽然说纳入规划。但是这些都是最基础的功能,都应该紧急修复的,这些都不完善,还做其他的干嘛?
希望官方引起重视,把这些重要的事情认真对待下,同为程序员知道什么是重点,千万不要当成耳边风。官方也要找个专门代码测试的时候进行安全审查,这只是短信的BUG,其他BUG我也懒得找,买现成软件就是图个方便。要是出来个修改余额的漏洞啥的,倒霉到死。
