不一样的短信轰炸漏洞

admin 2024年11月5日13:30:14评论5 views字数 327阅读1分5秒阅读模式

GRADUATION

点击蓝字 关注我们

不一样的短信轰炸漏洞

前言:

记一次不一样的短信轰炸漏洞

漏洞复现:

正常流程:(有限制)

小程序——登录——微信绑定手机号——继续——短信——验证——登录成功/登录失败;

小程序——登录——不允许获取手机号——结束;

错误流程:(没有限制)

小程序——登录——不允许——结束——使用其他手机号进行登录——输入手机号——图形验证码——验证码——重发即可

测试:

不一样的短信轰炸漏洞

图1

不一样的短信轰炸漏洞

图2

不一样的短信轰炸漏洞

图3

不一样的短信轰炸漏洞

图4

修复建议:

A、发送频率限制:

在服务端设置发送频率限制,例如每分钟只能发送一条短信,并对单个用户(或IP)设置最大发送条数限制,如每天不超过5条。这可以有效防止恶意用户通过连续发送请求来进行短信轰炸。

不一样的短信轰炸漏洞
不一样的短信轰炸漏洞

编辑|青春计协

审核|青春计协

原文始发于微信公众号(青春计协):不一样的短信轰炸漏洞

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年11月5日13:30:14
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   不一样的短信轰炸漏洞https://cn-sec.com/archives/3357999.html

发表评论

匿名网友 填写信息