某奖评审系统注册处存在短信炸弹

  • A+
所属分类:安全文章

点击蓝字 ·  关注我们

01

漏洞标题

某奖评审系统注册处存在短信炸弹

02

漏洞类型

逻辑漏洞

03

漏洞等级

低危

04

漏洞地址

某奖评审系统注册处

http://xxxxx.org.cn 

05

漏洞详情


0x01

奖评审系统   注册功能处:

http://xxxx.org.cn/common/login/login.jsp?returnUrl=


某奖评审系统注册处存在短信炸弹


http://xxxx.org.cn/user/register.do?userType=2

某奖评审系统注册处存在短信炸弹


0x02

点击获取短信,然后抓包:

正常情况下,多次发送短信会被限制:

http://xxxx.org.cn/dataservice?sb=0.36377898870876857

POST数据:

userId=0a9dc42dc8d64ba79d52e9bdc176717a&type=COMPANY_REGISTER&receiveTarget=151xxxxxxx96&CommandName=spring%3AvalidateCodeService.sendValidateCode

某奖评审系统注册处存在短信炸弹


然后在phone=151xxxxxx096 后面每次添加逗号即可绕过限制,无限制发送短信。


某奖评审系统注册处存在短信炸弹


某奖评审系统注册处存在短信炸弹

06

漏洞危害

1、 可以对任意手机号进行短信轰炸,大量骚扰用户,影响公司名誉。

2、 大量消耗短信接口可以对公司的经济带来一定的损失。

07

建议措施

添加验证码,或者是限制用户一天接收短信的上限


PS:本文仅用于技术讨论与分析,严禁用于任何非法用途,违者后果自负


EDI安全

某奖评审系统注册处存在短信炸弹

扫二维码|关注我们

一个专注渗透实战经验分享的公众号


本文始发于微信公众号(EDI安全):某奖评审系统注册处存在短信炸弹

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: