安全测试 : 开课吧（kaikeba.com）网站短信接口安全测试，怎么做短信验证码防刷？ | 安全测评 | 文章中心

– “隐患险于明火，防范胜于救灾，责任重于泰山”

安全问题不容忽视，不要亡羊补牢！

前言

本文详细介绍了针对发送短信验证码接口的安全性测试过程，包含思路、部分测试代码已经测试结果。
本次测试网站 —开课吧（kaikeba.com）
开课吧是一家在线教育平台。

一丶找到对外短信接口

从该网站注册入口可以发现，也是通过发送手机短信验证码来完成注册。

在这里插入图片描述

二丶分析外部防御措施

输入手机号

外部防御措施：无

三丶查看请求报文

1. 找到发送短信的请求

按下F12打开浏览器控制台，再次点击发送验证码按钮通过控制台找出发送短信的请求。
在这里插入图片描述

2. 查看请求方式在这里插入图片描述

3. 查看请求报文头
在这里插入图片描述

4. 查看请求参数
在这里插入图片描述

identify_code为图片验证码的值
5. 查看返回值
在这里插入图片描述

四丶分析测试

1. 分析测试要点

请求为post请求

2. 编写代码模拟请求进行测试

接着利用Java模拟报文请求，进行测试。部分代码如下：

//配置请求头
			inheads.put("Content-Type", "application/json");
		inheads.put("Origin", "https://www.kaikeba.com");
		inheads.put("Accept", "*/*");
		inheads.put("Accept-Encoding", "gzip, deflate, br");
		inheads.put("Accept-Language", "zh-CN,zh;q=0.9,en-US;q=0.8,en;q=0.7");
		inheads.put("User-Agent",
				"Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/77.0.3865.120 Safari/537.36");
		inheads.put("Referer", "https://www.kaikeba.com/");
		getCookie(cookieStore, httpclient, "https://www.kaikeba.com/", inheads, outheads);
		String cookieStr = GetCookieHead.CookieHashToString(outheads);
		if (cookieStr != null) {
			inheads.put("Cookie", cookieStr);
		}

//配置请求参数
JSONObject params = new JSONObject();
		params.put("auth_ticket", "");
		params.put("mobile", phone);
		params.put("type", 1);

//配置请求
		httpclient = createSSLClientDefault();
		retEntity = this.userClick(httpclient, cookieStore, "post", smsUrl, inheads, outheads, input, phone);
		closeHttpClient(httpclient);

启动测试：

1次：

在这里插入图片描述

手机号码唯一，IP唯一：

10次 --间隔时间1秒：

在这里插入图片描述

五丶结果分析

测试目标：

针对发送短信验证码接口进行安全性测试。

测试思路：

1.找到请求接口
2.分析请求报文
3.模拟请求测试

测试结果：

无限制

测试结论：

当遇到打码更换手机号以及IP的攻击时，该网站的所有防御措施均无效。

风险等级：极高

六丶结语

很多人在短信服务刚开始建设的阶段，可能不会在安全方面考虑太多，理由有很多。
比如：“ 需求这么赶，当然是先实现功能啊 ”，“ 业务量很小啦，系统就这么点人用，不怕的 ” ， “ 我们怎么会被盯上呢，不可能的 ”等等。

有一些理由虽然有道理，但是该来的总是会来的。前期欠下来的债，总是要还的。越早还，问题就越小，损失就越低。

所以大家在安全方面还是要重视。（血淋淋的栗子！）#安全短信#

戳这里→康康你手机号在过多少网站注册过！！！

谷歌图形验证码在AI 面前已经形同虚设，所以谷歌宣布退出验证码服务，那么当所有的图形验证码都被破解时，大家又该如何做好防御呢？