我可以从印度政府ID发送任何短信

2021-05-12 18:08:45

如果您收到来自“iwtxt”的消息,请您支付一些钱,你会相信吗?

如果你住在Andhra Pradesh怎么办,那条件来自“APGOVT”并要求同样的话?你有资格获得一些计划,并立即接到某个号码的电话,他声称来自政府并要求您支付金额以利用该计划?

如果我告诉你我可以做同样的 - 使用像“HPGOVT”或“Ecisms”这样的可信ID,并向该国每个人发送短信?现在,如果一些恶意黑客访问此特权,该怎么办?

这个故事是关于我如何遇到一些我不应该拥有的东西以及如何向后工作以实现相同的结果。

每次偶尔,我都在github上脱落,一些其他网站,找到了不应该在那里的有趣的东西。

有一天,我可以访问公共存储库中一些有趣的凭证。但这些凭据属于谁?他们在做什么?我可以和他们做什么酷吗?

我唯一的领导是一个URL。现在让'试图找到它可以做的事情。

<!doctype html public" - // w3c // dtd html 4.01过渡// en" " http://www.w3.org/tr/html4/loose.dtd"> < html> <头部> <元http-secriv ="内容类型"内容=" text / html; charset = ISO-8859-1"> < title> 404错误 - 未找到页面< / title> < / head> <身体> <中央> < h1>抱歉,找不到您要求的页面。< / h1> < / center> < / body> < / html>

因此,没有参数的发布请求没有提供任何有用的信息。我需要知道发送POST请求所需的参数。所以,我试图从URL检查网站。

移动SEVA是由CDAC开发的(高级计算中心),提供各种服务,SMS网关是其中之一。使用此,我可以发送推/拉SMSES。

在阅读网页时,我理解推送SMS服务用于向电话发送短信。另一方面,拉力服务是通过您自己查询信息。

正如您所看到的,几种服务正在使用CDAC使用此工具,发送到日期的消息数量在Crors中。

我找到了一些文档(最后在2018年更新)和网站上提供的一些示例代码。因此,有两种方法可以使用推送服务:

一种方法是在门户网站上注册;经批准后(只有政府机构获得),我们可以直接登录并发送SMSES。

由于这是不可能的,我们可以诉诸使用我们已经拥有的凭据。此处的捕获是它要求您输入OTP,该OTP已发送到注册的用户帐户(访问我们没有的访问)。

其他替代方案是使用API​​。这是有道理的,因为我们可以访问URL端点。

因此,要发送消息,我们需要将HTTP POST请求与下面列出的一些参数进行上述URL。

如果我们有这3个值(用户名,密码和SenderID),我们应该能够向任何人发送任何消息,甚至可以发送批量邮件。

既然我们确定我们需要这些特定的值,我在Github上搜索 - 通过在公共存储库中上传他们的项目而不是将它们上传到私人存储库,这是一个地方开发人员的数字。我能够找到30多个凭据和所需的详细信息来进行这些请求。肯定有更多,但我中途闷闷不乐。

您是否想知道某些服务的短信是如何从另一个电话号码发送,而是发送服务器ID?

要了解更多有关发件人ID以及它们的组成方式,您可以阅读本文档。您还可以在Trai网站上找到所有注册的发件人ID。

现在我们拥有凭据,端点,并归功于文档,帖子请求的参数进行,是时候进行测试了! 想象一下,由于Covid19大流行,选举委员会收到印度选举委员会的人员收到了选举委员会的信息,因为Covid19大流行了? 使用此功能,我可以在印度发送一百万个手机号码。 在我可以使用的30多个凭据中,我只测试了15个,其中8个工作,5个没有; 对于剩下的2,我得到了以下响应: 有趣的! 因此,存在安全功能。 开发人员可以白名单是IPS,只有他们可以与MSDP(移动电子治理服务交付平台)服务器交谈。 我在2月发现了这个问题,最近回到了它,因为我想写一个博客,我注意到了一些奇怪的东西。 如果我提前制作相同的HTTP POST请求,我之前做过; 服务器正在响应:

430:请仔细迁移到新的SMS API URL https://msdgweb.mgov.gov.in/esms/sendsmsrequestdlt,请参阅https://mgov.gov.in/msdp_techarticle.jsp for api集成。

错误:423 template_id是强制性的,它应该是12或19位数

在这一点上,我放弃了它,因为我没有Clue模板ID是什么。但几天后,它发生在我身上,这是一个与发送商业通信消息相关的一些最近的变化:

挖掘那个兔子洞,我明白了Trai实际上所做的事情。早些时候,这些短信网关可以发送他们想要的任何消息。从4月20日第1次实施新规则后,它是不可能的。现在,您收到的每条消息都基于模板。

分布式分析帐技术(DLT)是基于块链的登记系统。企业向其客户发送的OTP,验证代码,通知等等通信消息需要在TRAI DLT平台中注册。

它旨在创造更多的透明度,并通过短信来减少垃圾邮件和欺诈的发病率。

TRAI批准这些模板,只允许发送以这种格式的消息。

我再次回来寻找一些模板ID,发现了一些。令人惊讶的是,MGOV网站尚未更新其文档尚未包含强制模板ID部分。

现在需要纠正完成HTTP POST请求所需的表1中的参数列表,尚未在MGOV网站上反映。

从本质上讲,任何人都无法使用上述漏洞发送任意消息。 TRAI的新系统固定了漏洞。

人们仍然可以发送适合模板的任何消息。但这在很大程度上限制了骗局和滥用的可能性。

我可能不是第一个发现这个的人。检查这是至关重要的,是否在之前被滥用以及后果的后果。

此外,政府组织应确保开发人员(内部和外包)不应将凭证和其他秘密推向GitHub等服务。应给予这些开发商的基本培训。

并且,通过设计,CDAC API服务允许的IP白名单。所以,它应该已经强制执行。

如果您不使用它们,安全功能的使用是什么? 在写这个博客的同时,我在测试并注意到服务器刚刚下降。 我在主端点上找不到404个超过一个小时。 许多依赖此服务的应用程序必须面对向用户发送消息(OTPS)的困难。 这使得这项服务成为了一个核心故障。 我注意到,在2013年通过CDAC的RFP中,他们明确提到他们希望在高可用性和容错模式下运行移动SEVA,这基本上意味着他们想到这一点,它们不希望服务器下降。 由于几种服务取决于它,必须在MSDP服务器上完成适当的负载测试。 注意:如果您需要检查公司的凭据/秘密是否已在GitHub上泄露并需要援助,请在[email protected]上免费删除电子邮件至[email protected]