日常挖edu时候发现个很有意思的逻辑漏洞,由于没有做限制导致可以任意短信轰炸 师傅们看看思路就好了,话不多说 我们来开始吧
位置在这,一般的思路是抓下包看看验证码是否返回到页面
抓包后发现没有验证码 还行,那么我们就这样放弃了吗?
一般来说,到这就部分结束了,其实还有个东西我们可以尝试下,在请求一次看看 果然还是成功,好家伙,那岂不是要来炸弹了。我们果断试验下
这一试不要紧 根本停不下来呀。后续发现直接可以无限发送请求,好家伙这不是短信轰炸的节奏么,果断一直试一直爽,关键是这东西没有节制啊 那我岂不是可以写个python 直接轰炸机?好了邪恶的念头就此打住。毕竟还是个edu 年轻人要讲武德
请求代码我都不能附上,不然真被人而已利用了就罪过大了。所以说下次遇到这种,各位师傅先不要急着测试下一步,先来一个多次请求试试。后面还试了下邮箱注册也是一样会出现轰炸。关键是还搜了一波供应链资产,好家伙其他几个系统均有存在
为各位师傅提供讨论的地方,可以公众号发送加群两个字 让管理拉您进群 欢迎各位师傅加入。感谢各位师傅对我的关照。技术有限还需要多多仰仗各位师傅的加入!
特别声明:
由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,我不为此承担任何责任。
作者有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经作者的允许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的。 切勿用于非法,仅供学习参考
我不会渗透,我们下次再见!
原文始发于微信公众号(深夜笔记本):逻辑漏洞之信息炸弹
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论