安卓APP漏洞檢測 驗證碼被重復利用漏洞分析與匯總

在對客戶網站以及APP進行安全檢測的同時，我們SINE安全對驗證碼功能方面存在的安全問題，以及驗證碼漏洞檢測有著十多年的經驗，在整個APP，網站的安全方面，驗證碼又分2種，第一個是登陸的身份驗證碼，再一個對重要的操作進行的操作驗證碼，雖然從名字上都是驗證碼，但這兩種所包含的內容是不一樣的。

登陸身份驗證碼的功能是用來判斷當前賬戶登陸是否是賬戶者本身，簡單來說是判斷是否是賬戶的擁有者，用驗證碼來效驗，用戶注冊賬號的時候都會填寫手機號，那么手機號就作為身份唯一的證明，通過接收短信驗證碼來登陸網站，以及APP。重要操作方面的驗證碼，比如一些資金，提現，轉幣，充值，修改銀行卡，牽扯資金類的重要操作，含有這個修改密碼等等的屬于操作類型的驗證碼，為的是防范別人盜用賬戶，對賬戶進行篡改，給賬戶擁有者帶來損失，把握風控。

這兩種驗證碼的功能都不一樣，所以在對APP，網站進行安全檢測的同時，查找出來的漏洞，以及發生的安全問題，都不一樣。我們SINE安全工程師在對其他客戶平臺，APP進行測試總結下來的經驗，來跟大家講將驗證碼安全上的問題。

使用驗證碼為的就是提高APP安全，網站的安全性能，解決網站賬戶被暴力破解，頻繁的API訪問，重要操作上的驗證碼二次確認，防止惡意操作導致用戶賬戶本身受損失，這些安全方面，都是為了區別開軟件與人工，當用戶被暴力破解，一般都是采用軟件進行攻擊操作，包括頻繁的訪問某一個API接口，也都是由軟件實施，人工根本不可能實現。驗證碼安全檢測，主要從以下幾個方面進行測試：

驗證碼是否可以重復利用，驗證碼是否可被軟件ocr文字自動識別，驗證碼是否被可以被繞過，驗證碼在一分鐘內是否有數量的安全限制，驗證碼的生成規則是否可逆，輸入驗證碼出錯的次數是否會開啟二次安全驗證，根據近10年的安全測試經驗，我們SINE安全統計發現驗證碼被重復利用，被自動識別這些漏洞是經常出現的，下面講一下驗證碼被重復利用漏洞:

正常來講驗證碼在設計過程都是與session值進行綁定，當session產生第一時間，驗證碼也會緊跟其后，也會直接生成與當前的session值進行雙向的綁定。當用戶訪問APP，網站登錄的時候，會自動加載驗證碼，登錄請求到數據庫進行查詢比對，用戶的賬號密碼是否正常，驗證碼也會判斷是否正確，但這兩個請求是分開來的，一個走數據庫，一個走驗證碼，各盡其責。如果是可以先請求驗證碼，再請求數據庫，這就導致安全問題的發生，APP的開發人員在設計的時候大多數考慮的是驗證碼是否輸入正確，如果正確就通過，而忽略掉了可以調換業務流程的先后順序，要判斷登陸與驗證碼的請求是否同步，在這個細節上，導致驗證碼被重復利用。

我們在測試其他客戶APP，網站的時候，用戶登陸時候先輸入驗證碼，驗證碼通過安全效驗后，直接可以進行登陸用戶賬戶與密碼，在這個過程可以導致暴力破解的漏洞產生。

下一篇我們將會分享驗證碼被自動識別漏洞，希望我們的分享能給網站運營者與開發人員一些幫助，當在開發APP，網站驗證碼功能上一定要謹慎，根據我們分享的安全問題著重測試，并修復漏洞，完善網站的整體功能。