某奖评审系统注册处存在短信炸弹

admin 2020年11月14日11:31:05评论370 views字数 677阅读2分15秒阅读模式

点击蓝字 ·  关注我们

01

漏洞标题

某奖评审系统注册处存在短信炸弹

02

漏洞类型

逻辑漏洞

03

漏洞等级

低危

04

漏洞地址

某奖评审系统注册处

http://xxxxx.org.cn 

05

漏洞详情


0x01

奖评审系统   注册功能处:

http://xxxx.org.cn/common/login/login.jsp?returnUrl=


某奖评审系统注册处存在短信炸弹


http://xxxx.org.cn/user/register.do?userType=2

某奖评审系统注册处存在短信炸弹


0x02

点击获取短信,然后抓包:

正常情况下,多次发送短信会被限制:

http://xxxx.org.cn/dataservice?sb=0.36377898870876857

POST数据:

userId=0a9dc42dc8d64ba79d52e9bdc176717a&type=COMPANY_REGISTER&receiveTarget=151xxxxxxx96&CommandName=spring%3AvalidateCodeService.sendValidateCode

某奖评审系统注册处存在短信炸弹


然后在phone=151xxxxxx096 后面每次添加逗号即可绕过限制,无限制发送短信。


某奖评审系统注册处存在短信炸弹


某奖评审系统注册处存在短信炸弹

06

漏洞危害

1、 可以对任意手机号进行短信轰炸,大量骚扰用户,影响公司名誉。

2、 大量消耗短信接口可以对公司的经济带来一定的损失。

07

建议措施

添加验证码,或者是限制用户一天接收短信的上限


PS:本文仅用于技术讨论与分析,严禁用于任何非法用途,违者后果自负


EDI安全

某奖评审系统注册处存在短信炸弹

扫二维码|关注我们

一个专注渗透实战经验分享的公众号


本文始发于微信公众号(EDI安全):某奖评审系统注册处存在短信炸弹

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2020年11月14日11:31:05
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   某奖评审系统注册处存在短信炸弹http://cn-sec.com/archives/184899.html

发表评论

匿名网友 填写信息