手机注册Hijack是否可行

中国红啊

说实话，以前还真没有想过手机注册及收费这一流程的安全问题
碰巧，今天有朋友提起手机网上注册消费的问题，问我是否存在什么安全隐患，我构想了这样一个过程，但是只是临时构想出来的，也不知道是否真的可行，拿出来讨论一下：

先说一下环境：
有两个站点，一个站点叫做SP，这个站点是经过运营商认证的正规站点，用户只要在该站点上注册，就可以通过手机付费的方式购买一些产品，例如：铃声、彩图等等
另一个站点就是骗子用来做Hijack的了，站点就命名为cheater吧，该站点在形式和标题上可能会和SP站点的名称、标题等非常相似或是完全相同

在描述过程前，先说一下一般手机注册的流程：

访问站点→在指定位置填写手机号→站点回应给注册者一条短信，短信中带有一个验证码→注册人将验证码填入站点的验证区中→注册完成

这个注册是一般的注册流程，还有很多不太一样的，也正是因为不太一样，导致Hijack不能大面积使用，这个后面再说

过程是这样的：
首先，cheater站点的站长诱骗某人到cheater站上，被骗的人一看，和正规的SP站点很像，于是乎，注册：
1、在注册区填写自己的手机号码（实际上填写到了cheater的站上）
2、站点提示申请提交（实际上，这时cheater的站长已经获得了注册人的手机号码，而同时，cheater站会将该号码以正常的请求方式发送到SP，这一过程可手工，也可由程序完成）
3、SP站点收到来自cheater站点或是cheater站长的注册提交后，自然会按照正常流程返回一个验证码到这个注册者的手机上
4、注册人收到信息，由cheater和SP站点名称相同，注册人以为该信息来自cheater站点
5、根据提示，注册人将收到短信中的验证码填写到cheater站点上
6、cheater站点提示一个等待信息
7、实际上，cheater站点已经记录该验证码，站长得到后，立刻会到SP上进行验证并购买物品
8、真正的注册人还在等待
9、注册人继续等待
10、cheater给出一个错误信息
11、注册人欲重新注册
12、发现手机已经没钱了


这个过程是一个典型，其实很多站点还是不能实现这样的Hijack的，上面也说了，有很多站点的注册方式不太一样，我见过的还有其他方式的：

流程A：访问站点→在指定位置填写手机号→站点回应给注册者一条短信，短信中带有一个验证码→站点开始计时，在N分钟内，该验证码有效→注册人在N分钟内将验证码填入站点的验证区中→注册完成

流程B：访问站点→在指定位置填写手机号→站点回应给注册者一条短信，短信中带有一个验证码→站点开始计时，在N分钟内，该验证码有效→注册人在N分钟内将验证码填入站点的验证区中→网站返回一个用户名和密码到注册人的手机号上→注册人使用该用户名和密码进行登录消费

与上面设想的Hijack流程对比一下，如果注册过程如流程A那样，那么，实时性要求很高，也就是说，cheater站在收到注册并转到SP进行正式注册后的N分钟内，cheater站长必须获得验证码并且马上到SP站点上注册并消费，否则验证码无效，是骗到人了，却没办法正常注册并消费。

如果网站的注册流程像流程B那样，那就更糟糕了，那等于是cheater站点白给人当了一回代理，什么都没有捞到。


后面的两种方式是比较多的，但是我刚刚进行了一下简单的搜索，发现仍有很多的站点使用了我所描述那样的流程，也就是说，仍有很多站点是可以进行Hijack的
而且，退一步说，就算是验证码具有时效性，也不是不能进行Hijack，仍然是很危险的。

简单想了一下，能预防的方法其实挺简单的
一个是采用流程B那样的方式，虽然注册过程比较烦琐，但是安全
另一个简单的方法就是站点在回执短信的时候，短信中多加一些站点的信息（比如，站点的地址），这样，注册人稍微小心一点，和cheater站点一对比，就会发现有问题了

临时想到的，还没有详细的验证过程，希望大家能多讨论，如果过程真的是可行的话，希望大家不要拿去做坏事，不过相信很朋友都已经想到了，就是不知道是否有人已经利用了该想法在做坏事，呵呵