短信平台相关常见问题整理 - FreeBuf互联网安全新媒体平台 | 关注黑客与极客
短信平台相关常见问题整理
共209051人围观
，发现 14 个不明物体
在近期的渗透测试项目中，在短信平台相关功能都出现了一些问题，现对渗透过程中发现，及wooyun上出现的相关短信平台的几类问题做个整理。
一、短信发送无频率限制
通过wooyun上搜索可见，该类漏洞是最为常见的。
漏洞相关链接：
万网发验证信息，无限时。无限次数形成短信轰炸
盛大网络短信ddos攻击漏洞
漏洞成因： 对发送信息功能调用未做任何限制
漏洞危害：
1、可针对某用户短时间内发送大量垃圾短信，造成短信轰炸攻击；
2、对于企业，每发一条短信，都是需要向运营商交付一些费用，尽管比个人用户费用低，但是一旦被恶意利用大量发送后，造成较大的直接经济损失。
漏洞修补：
1、限定同一手机号在一时间段内发送次数，如每分钟发送1次，具体落实需结合用户体验综合考虑；
2、使用强壮的验证码机制。
补充：曾在测试中发现某客户的验证码有效期为2分钟，即2分钟内无需修改验证码直接成功回放请求包，同样可造成短信炸弹工具。因此，务必保证验证码的强壮型，并采用一次一用机制。
二、短信发送内容来自客户端
这类漏洞一般不直观，直接由用户输入来定义短信内容的问题确实没遇到过，这里的漏洞是把短信内容放在的POST表单中，从页面上无法发现，需要抓包分析才能看到。
相关漏洞：
（知道这漏洞是哪家的同学也请嘘，咱不讨论它是谁的，另漏洞已经修补了）
某系统可以在WEB页面上选择手机品牌和型号，填入手机号码可发送下载地址至手机，具体操作界面如下图：
抓包查看该POST表单的内容
正常情况下，用户收到的短信即为客户端提交的内容：“var1下载：var2”，var1和var2分别为手机品牌和手机型号。
例如“NOKIA
N97下载：wap.abc.com.cn/abc.sisx”。
由于短信内容为客户端定义的，即修改var1=NULL，var2=“恭喜您中奖，请登陆XXX领取”。此时目标手机收到短信为：“下载：恭喜您中奖，请登陆XXX领取”。最终造成钓鱼攻击。
漏洞原因：
直接原因是客户端可控制短信内容。但更深层次去追究，实际上是开发人员追求性能和效率，把重要的操作分发给客户端去做，而忽视其中安全问题导致的，这也是开发人员考虑问题重心偏移和安全从业者不同的体现。类似，为追求性能而导致有意思的漏洞：sohu邮箱任意用户密码重置
漏洞危害：
该类漏洞一般被用户钓鱼欺诈，直接受害者为最终用户，也使得企业方遭受名誉损失。
漏洞修补：
短信发送文字内容应由服务器来定义，客户端应触碰不到。可以制定为键-值对，客户端只能选择键，然后在服务端匹配到键相应的值，再把值内容发送给用户手机。
三、手机验证过程中pin码可爆破
这类问题常出现在“密码找回”、“绑定手机”等功能处。正常工作流程一般为在页面提交手机号，然后短信平台会发送一个pin码给手机，再将pin码提交回给服务器，完成身份认证或绑定。
相关漏洞：
微信任意用户密码修改漏洞
该漏洞在爆破pin码阶段相当精彩，先赞一个。
大牛说了：
因此，这类漏洞成因：
1、pin码太弱，短位的纯数字组合，极易爆破；
2、高频由同一源发类似请求包，这么像CC攻击了，服务器总该做点反应吧。
漏洞危害：
需根据实际功能来定，大则如漏洞标题，任意用户密码修改。且即便看似难以利用，在大牛手上将会用神奇的构思，来证明漏洞的危害。近期，大牛就在做这样的事情。
漏洞修复：
使用长度和复杂性足够强壮的Pin码，防止被爆破。
四、短信平台自身的问题
先不论短信平台的应用层面的漏洞，我在测试过程中遇到的问题是：弱口令！直接登陆到短信平台。
漏洞成因：
维护人员的安全意识问题。
该短信平台只能通过IP访问，未绑定URL。我知晓其存在是由于客户提供了资产列表。站在客户的视角，外部用户难以发现短信平台入口，因此并不重视其安全性。但后续我发现通过Google hack也是能找到这个短信平台的。且有数字浏览器如此强大的存在，怎么可能产生互联网孤岛呢？
另外短信平台一般是由第三方提供，企业做为使用者难以保证其安全性，因此也可能存在常规WEB应用漏洞。
漏洞危害：
短信平台的操作权限一旦被恶意攻击者获取，上述提及的几类漏洞危害都有可能导致。
漏洞修复：
站在企业的角度，对于这样一个第三方系统，进行代码审计、渗透测试，成本投入都略显过大，因此对于短信平台，建议使用最直接、最暴力也是我认为最合适的方案——制定合适的ACL，限定仅内网特定用户访问，如确实有外网用户需要使用系统，也需采用VPN接入。
以上四类问题是我遇到和见到的，但是，由于我能力和视野有限，考虑得肯定是不够全面的，也请有经验的大牛给予指点。
必须您当前尚未登录。
必须（保密）
这是一个神奇的马甲
关注我们 分享每日精选文章
可以给我们打个分吗？短信验证码接收不到原因和解决方案分析
短信验证码是通过发送验证码到手机的一种有效的验证码系统。无论是大型网站尤其是购物网站，都提供有手机短信验证码功能，可以比较准确和安全地保证购物的安全性，验证用户的正确性。创蓝253短信服务平台上总结了短信验证码接收不到的几个原因：（1）短信网关拥堵或出现异常
在一些节假日或者其他特殊时间段，由于短信的发送量在短时间内量大，造成短信网关拥堵或者其他反常状况，从而导致验证码短信的延时或丢包的情况。解决这种情况需要配备备用通道和增加服务器数量等，以此来保持高并发的短信服务。（2）手机安全软件拦截对于已经安装了安全拦截软件的智能手机，用户可暂时关闭拦截功能。如果仍然不能接收到验证码短信，那手机号码可能被列入了黑名单。（3）获取次数超限
通常，通道供给商会在接入短信验证码接口之前，对每个手机号接收验证码的上限次数进行控制，超过了该数字限制之后，用户则无法收到短信验证码。如果每天需更多频次的验证码，则需要进行接口的参数修改。（4）手机自身问题受手机服务运营商业务的限制，手机在境外使用或者使用西藏、新疆、港澳台及海外手机号码，可能无法接收短信验证码。（5）部分号段不支撑电信增值业务当前已经趋于成熟，基本可以支持三大运营商和海外手机号码的各个号段，但一些特殊的新开通号段（如147、170号段），或者由于数据接口变动等原因，也会导致短信验证码下发失败。针对以上问题，创蓝253短信服务平台为企业提供私有化短信服务，配备专属通道和备用通道避免短信堵塞，同时由企业自主决定短信的发送频次，减少手机号码黑名单，让短信验证码的到达率超过99%。
没有更多推荐了，已解决问题
为什么我的手机收不到短信，卡没问题
浏览次数：32706
用手机阿里扫一扫
最满意答案
该答案已经被保护
收不到10086信息的解决办法 1：请确认有没有安装信息防火墙之类的&软件？检查下设置里是否屏蔽了10086的信息或用appman或&文件动力&查看下&是否有servertimer或者mssver.exe的线程，有的话关闭了再试试看 2：确认一下自己有没有安装信易&安之类有自动屏蔽短信功能的软件。有的话那就容易了，只要加入白名单就可以了。当然这种情况出现的可能性非常低，因为大部分都是手机中毒了。再者说，谁也不会闲得没事吃饱了撑得把10086加入黑名单对吧&你还要打10086问一下是不是那边把你的号码给屏蔽了（这种情况发生的可能性更小，但不代表没有） 3：在进程里把Servtimer.Data关&掉，然后在C盘中找到Servtimer.Data文件，删除就可以了，还有就是查看进程里面有没有一个srvfd.exe的进程，关！然后在c盘和e盘找出删掉，再重新建立一个srvfd.exe文件夹，重启。解决！至于自动上网，应该只是自动连接nokia.com，给它加上密码或是改一下ip就行了。要上网就改回来或使用其他的如移动梦网连接就可以了 4：SIM拿到别的机器上试,如果&可以正常收到,那说明是机子本身问题不然就是SIM的错,打10086&如果是本机出错&那先运行进程管理,把没有齿轮&的进程通通结束,结果我的成功收到短信了,&原来是一个叫Servtimernew&的&进程在搞鬼,结束进程,&然后到C:/SYSTEM/DATE&目录下&把此文件删除,重开机,搞定 5：打开你的进程管理，看线程里面&有没有一个mssver.exe的进程，把这个线程关了，位置在C\system\apps&一个名为&aknrep1的文件夹下&，这文件夹看着就觉得问题，一齐删了。我是先结束此进程,但无效,&所以,朋友请先结束servtimernew&再试mssver.exe 其实最简单最快捷最有效包解决的的杀手锏就是格式化手机。在待机情况下输入&*#7370#&在输入默认密码12345待手机重新开机就可以正常收到信息了，再不行就硬格机吧！以上所有方法肯定能解决问题的，祝楼主好运。
有可能是短信的拦截功能，或者是你安装了360安全卫士一类的软件，它会拦截陌生短信。还有就是可能你手机内存满了，诺基亚比较容易出现的问题。手机内存满了，放不下手机短信了，所以导致没有收到短信。
答案创立者
以企业身份回答&
正在进行的活动
生意经不允许发广告，违者直接删除
复制问题或回答，一经发现，拉黑7天
快速解决你的电商难题
店铺优化排查提升2倍流量
擅长&nbsp 店铺优化
您可能有同感的问题
扫一扫用手机阿里看生意经
问题排行榜
当前问题的答案已经被保护，只有知县（三级）以上的用户可以编辑！写下您的建议，管理员会及时与您联络！
server is ok小米手机 短信收不到短信怎么回事_百度知道
小米手机 短信收不到短信怎么回事
我有更好的答案
小米手机收不到短信的原因以及解决办法如下：1、无缘无故出问题，未对手机有什么异常操作出现这种问题，一般是运营商服务器出现了小问题，可以打人工服务解决；2、手机欠费，现在的手机会因为信用等级二可以欠费，欠费后一般不会直接断掉电话和短信，这个时候出现这种情况说明你应该去交话费了；3、手机储存已满，手机的储存有限，短信太多内存占用太多，这时候需要删掉一部分短信或者是其他占内存的东西即可；4、短信中心号码设置，收不到短信，可能还是手机短信中心号码设置出现了问题。可以在手机信息设置中将手机短信中心号码设置正确，问题就可以解决了；5、手机设置问题，不小心更改了手机的某个设置，导致手机不能够收到短信。可能是最近进行了个性化的设置，更改了一些系统设定，所以进入手机设置，然后点击“备份和重置”；6、设置了黑名单和信息拦截，在设置黑名单时设置错误致使信息被拦截，所以需要去掉黑名单拦截。
采纳率：100%
您好，1.检查中心号码是否错误，进入工程模式方式:在拨号界面输入: *#*#4636#*#* 然后在弹出的界面选择【手机信息】。拉到底下有个SMSC右边有个框框，框框就是设置短信中心号码的 ，在框框里输入完短信中心号码后点击更新即可。如果还是没有解决问题请往下看 2.检查手机里有没有安装一些优化大师或360等一切能禁止程序开机自启动的软件，是否有把信息程序禁止了开机自启动。如果还是没有解决问题请继续往下看 3.安装第三方短信软件（如GO短信）试试看，如果第三方软件可以正常收发，请清理短信数据（方法:设置--程序--程序管理--全部--信息--清除数据）。如果还是没有解决问题请继续往 下看 4.请把SIM卡装在其他手机里试试，如果一样不能收发，那您可以去营业厅找客服帮您处理，如果还解决不的话可以到小米在线或者官方论坛上去问问。希望能帮到您 详情咨询修机机在线客服
本回答被提问者采纳
为您推荐：
其他类似问题
您可能关注的内容
换一换
回答问题，赢新手礼包
个人、企业类
违法有害信息,请在下方选择后提交
色情、暴力
我们会通过消息、邮箱等方式尽快将举报结果通知您。}