記錄一下:
網站中手機號已經成爲最重要也是最普遍的驗證方式了。
所以關注短信的問題。
1.重置密碼/短信驗證碼登錄時驗證碼回顯。
直接通過抓包,若驗證碼直接出現在返回包則直接可以跳過手機驗證的階段。
2.驗證碼沒有限制發送頻率。
利用這個來做短信炸彈,
3.發送手機短信驗證時不需要輸入圖片驗證碼直接發送。
直接可以調用接口,可以被人利用做短信轟炸。
4.可以控制短信內容。
抓包可以編輯短信內容,會被惡意利用發送詐騙短信。
記錄一下:
網站中手機號已經成爲最重要也是最普遍的驗證方式了。
所以關注短信的問題。
1.重置密碼/短信驗證碼登錄時驗證碼回顯。
直接通過抓包,若驗證碼直接出現在返回包則直接可以跳過手機驗證的階段。
2.驗證碼沒有限制發送頻率。
利用這個來做短信炸彈,
3.發送手機短信驗證時不需要輸入圖片驗證碼直接發送。
直接可以調用接口,可以被人利用做短信轟炸。
4.可以控制短信內容。
抓包可以編輯短信內容,會被惡意利用發送詐騙短信。