一些软件利用网络短信的Bug给手机发送大量短消息。那么网络短信的Bug到底是如何产生的?又该如何去防范呢?
一、原理剖析
细看这些被发送的短信,内容也并不是由短信炸弹制造者来控制的,因为他们不可能架构专门的短信设备来发送。他们发送的不过是一些网站的注册验证密码的短信而已,只不过是重复发送了许多次。
那么这些注册验证密码的短信为何可以重复发送多次?因为一般的短信网络服务网站在注册时,只要输入手机号码而不加任何验证就会给输入的手机号码发送一个确认短信。那么试想一下,我们用相同的手机号码对服务器发送N次的注册请求,再对N个这样的短信网络服务网站发送注册请求,不就给该手机号码发送了N的2次方条短信了吗?
事实上,这些“短信炸弹”软件也正是这样做的,它们利用短信网络服务网站注册时无任何限制的特点而不停地向服务器发送GET请求页面,从而达到了向目标手机发送多条注册验证密码短信的目的。
二、防范措施
知道了原理,防范起来也就比较容易了。手机用户如果关闭了短消息功能固然不会收到这些“短信炸弹”,但毕竟是一个治标不治本的方法。既然“短信炸弹”源于网络短信的漏洞,那就应该想办法把这些漏洞给堵上。
对网络短信网站的服务商而言,首先可以限定IP或者时间差提交手机号码注册的次数。也就是说,用一个IP注册相同的手机号码要限定次数,或者一定的时间内相同手机号码注册的次数也是要有限制。腾讯QQ以前的注册号码方式就使用过这样的方法来防止单一用户注册大量的QQ号码。
其次还有更为简单而且也是目前这些网络短信网站普遍使用的方法,那就是注册时使用验证密码。输入手机号码的同时,还要输入网站上随机出现的密码才可以注册。如图,是网易的手机注册时进入的页面,除了输入手机号码外,还要输入网站上的随机验证密码。因为验证密码是随机出现的,并且每注册一次密码都会更改一次,所以“短信炸弹”软件向服务器发送请求页面的时候,就不可能正确包含这一随机密码参数,也就不可能达到多次发送短信的目的了。
其实在很早以前,就有网站在用这种随机验证密码的方法来防止别有用心的人搞破坏。
比较典型的是Chinaren的同学录,以前用户登录进去以后就可以直接在校友录上发表留言,但这种没有密码验证就可发帖的方式很容易让人编制软件来恶意发帖。后来Chinaren的同学录在发表留言时都要输入随机字符,这种随机出现的认证字符方式就在一定程度上防止了通过软件提交发帖请求的恶意发帖行为。
(责任编辑:赵纪雷)
文章来源于领测软件测试网 https://www.ltesting.net/
版权所有(C) 2003-2010 TestAge(领测软件测试网)|领测国际科技(北京)有限公司|软件测试工程师培训网 All Rights Reserved
北京市海淀区中关村南大街9号北京理工科技大厦1402室 京ICP备10010545号-5
技术支持和业务联系:info@testage.com.cn 电话:010-51297073