中国移动动态短信验证码安全防护方案分析VIP专享VIP免费

1动态短信验证码安全防护方案中国移动2014年9月2目录1.概述................................................................................................32.适用范围........................................................................................33.“短信炸弹”实例分析...............................................................33.1短信炸弹原理..............................................................................................43.2短信炸弹实例分析.......................................................................................44.短信验证码安全防护方案...........................................................55.图片验证码安全要求...................................................................75.1图形验证码实现机制.................................................................................75.2图片验证码的安全设计要求.....................................................................931.概述近期，根据集团客户及代理商反馈：部分用户连续收到莫名验证码短信，对用户正常的业务使用造成了严重的影响；同时还引起了大量的用户投诉，部分省份反馈行业端口的验证码业务投诉量居高不下，占总投诉量比重超过50%。经分析该问题是由一种互联网恶意攻击方法——“短信炸弹”形成，该攻击方法循环利用不同业务中的无需注册即可向任意手机号发生短信动态验证码的正常业务需求（如用户注册、好友邀请、密码取回等），可以向多个用户同时连续发送大量的验证短信，严重影响用户的正常使用，造成不良影响与大量投诉。虽然部分业务设定用户首次输入错误后，提供“手机号+动态验证码”的登录方式；但由于攻击工具循环调用不同的动态短信发送URL进行攻击，可绕开该限制进行攻击。《动态短信验证码安全防护方案》是针对端口类动态短信验证码功能的安全实施方法与要求，适用于具备动态短信验证码功能的业务与系统。2.适用范围本方案适用于无需用户登录认证的情况下（如用户注册、好友邀请、密码取回等环节），需要向用户发送动态短信验证码或其他业务所需的短信（如认证信息、业务提示信息等）的业务场景。原则上要求所有具备公网可访问的、具备非认证场景下可向用户发送短信信息的业务都必须符合本方案的要求。本方案由总部市场经营部委托研究院制定。各省公司可根据本方案，结合自身实际情况，制定相应的实施细则。本方案自下发之日起执行。43.“短信炸弹”实例分析3.1短信炸弹原理短信炸弹一般基于WEB方式（基于客户端方式的“短信炸弹”工具原理类似），其由两个模块组成，包括：一个前端Web网页，提供输入被攻击者手机号码的输入窗口；一个后台攻击页面（如PHP），利用从各个网站上找到的动态短信URL和前端输入的被攻击者手机号码，发送HTTP请求，每次请求给用户发送一个动态短信。利用这两个模块实施“短信轰炸”攻击，原理具体分析如下：（1）恶意攻击者在前端页面（如下图所示“迷你轰炸台”）中输入被攻击者的手机号；（2）短信炸弹后台服务器，将该手机号与互联网收集的可不需要经过认证即可发送动态短信的URL进行组合，形成可发送动态短信的URL请求；（3）通过后台请求页面，伪造用户的请求发给不同的业务服务器；（4）业务服务器收到该请求后，发送动态短信到被攻击用户的手机上。这个过程如下图1所示：53.2短信炸弹实例分析用户在某短信炸弹上输入被攻击手机号、攻击的次数后，对被攻击的手机号进行攻击的源码。如图2所示：图2短信炸弹Web页面分析：该攻击页面中主要采用来调用业务服务器动态短信发送的接口。如红框中内容所示。在“短信轰炸”源代码中，利用标签的src属性定义了可以请求发送动态短信的URL（如gd.12530.com/⋯.）;在其中的phonenumber字段中嵌入被攻击的手机号（如138111111111后，即可形成攻击URL）；页面运行后，将其以HTTPGET/POST的方法提交给业务服务器；业务服务器发送动态短信到被攻击者的手机上，从而完成了“短信炸...