一 漏洞原理

站点服务对短信验证接口未做严谨的校验导致恶意调用,向特定手机号连续发送验证码,实现轰炸效果

二 利用场景

经常被灰产从业者利用提供给催收,报复,骚扰等等

短信轰炸挖掘技巧和思路_短信接口

三 常见位置

1.注册,登录,找回密码,修改密码

2.重要操作验证位置(如:验证身份,活动领取,签署合同,支付二次验证等)

四:挖掘姿势

1.重复发包

因为短信接口get请求,未作任何限制重复发包即可达到效果

短信轰炸挖掘技巧和思路_修改密码_02

2.参数污染

修改一些参数值即可绕过

短信轰炸挖掘技巧和思路_找回密码_03

3.垃圾字符填充

手机号前后加空格  + - * /  等字符即可绕过主要看开发人员效验怎么写

短信轰炸挖掘技巧和思路_逻辑漏洞_04

4.伪造参数

可看到mobile为手机号,伪造一个参数mobile3,即可同时收到两条短信

短信轰炸挖掘技巧和思路_短信接口_05

5.国际区号绕过|00绕过

①修改国际区号为其他国家尝试绕过

②0086+手机号,修改00到99尝试绕过

短信轰炸挖掘技巧和思路_找回密码_06

短信轰炸挖掘技巧和思路_逻辑漏洞_07

6.XFFip伪造绕过

有些接口限制ip调用次数可通过伪造绕过或者代理池绕过

7.并发等等

短信轰炸挖掘技巧和思路_修改密码_08

五:修复方案

1.限制ip请求频率

2.设置短信发送周期

3.校验短信接口

阿里云国内75折 回扣 微信号:monov8
阿里云国际,腾讯云国际,低至75折。AWS 93折 免费开户实名账号 代冲值 优惠多多 微信号:monov8 飞机:@monov6