前几天帮帮有测试北京某家国企,w网上营业厅存在验证码破解漏洞,验证码三分钟有效,爆破成功注册了个18888888888,账号,结果人家18888888888号主打电话给这些客服,骂个半死,这客服也不好解释什么,只能赔礼道歉,然后找公司技术部门反馈这个事情,总不能说实话说我们的系统有渗透测试工程师在搞测试存在漏洞吧
我记得2021年某直辖市联通上了热搜,说某联通给移动用户发送大量验证码,大家知道上了百度热搜,至少上亿级别的IP PV那估计都是10亿了,影响有多大,我们公司就某直辖市联通公司的服务商,我经常给他们搞测试,比如停车114我可以利用漏洞任意呼叫某直辖市的手机号让挪车,再比如任意重启某直辖市联通用户的光猫,其实搞测试也怕,你搞测试为了证明漏洞要重启人家的光猫,造成t人家不能正常上网,但是不复现你又无法证明漏洞
所以奉劝以后给甲方测试一定要谨慎,防止给甲方带来地震式灭顶的影响
原文始发于微信公众号(秦国商鞅):原创-渗透测试短信验证码爆破漏洞注册了18888888888引发的挨骂
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论