某想主站的短信轰炸漏洞

最新推荐文章于 2024-09-15 23:59:42 发布
最新推荐文章于 2024-09-15 23:59:42 发布
阅读量306 收藏 3
点赞数 4
文章标签: 安全 网络 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_80115097/article/details/137669149
版权
很难想象主站居然还有这漏洞

某天的一个晚上,默默的打开了电脑,娴熟的打开了Burp suite,
看到一个很熟悉的注册登录页面,开始测试。

很难想象,还有验证码时效性,于是怼了半刻钟,终于让我逮到了他的数据包。

图片

跳转到注册页面
1、输入手机号,点击获取验证码进行抓包

图片

这时会发现有一个验证机制,,抓住验证的数据包,一个一个的放数据包

图片

一直放到下面这个包这里,然后放到Repeter模块
看关键字mobile字样。

图片

2、将请求包发送到Repeater模块进行多次重发数据包

图片

3、手机收到大量的短信,造成了短信轰炸。

图片

这边后面又通过遍历手机号轮番轰炸,未果,最后提交src,审核漏洞重复。

 声明:⽂中所涉及的技术、思路和⼯具仅供以安全为⽬的的学习交流使⽤,任何⼈不得将其⽤于⾮法⽤途以及盈利等⽬的,否则后果⾃⾏承担。所有渗透都需获取授权

免费领取安全学习资料包!


渗透工具

技术文档、书籍

面试题

帮助你在面试中脱颖而出

视频

基础到进阶

环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等

应急响应笔记

学习路线

黑客大佬
关注
java短信策略,防止短信盗刷,阿里云短信通道,短信通道安全策略,防短信轰炸
01-15
短信策略防盗刷,防短信轰炸短信通道防盗刷方案: 1.使用安全图形验证码,增加识别难度,防止通过自动化工具进行攻击请求; 2.每日限制每个手机号的发送次数; 3.单Ip的请求次数限制,防止攻击者对服务器进行大量...
Burp Suite工具破解短信验证码登录
这里有橙子的博客
08-31 6104
1.首先抓取登录的包,右击选择发送给Intruder 2.选择测试器,目标中显示攻击目标信息 3.测试器-位置中,攻击类型选择狙击手,首先点击清除按钮,清除掉已设置负载的字段,双击需要分配有效负载的字段点击添加按钮,如下双击验证码code,点击添加按钮 4.有效载荷中可如下设置,有效载荷集选择数值,数字格式中有举例,点击右上角的开始攻击,程序会从6000至7000一次递增尝试验证验证码是否正确。 5.如下截图是攻击结果,正确的验证码的长度与其他验证码的长度不一致, ...
burpsuite验证码爆破教程(1),HarmonyOS鸿蒙应届生面试题
2401_84150530的博客
04-13 695
1、下载项目:Releases · f0ng/captcha-killer-modified (github.com)2、本地新建codereg.py。
BurpSuite并发】使用Turbo Intruder进行短信验证码并发轰炸
开水的博客
04-16 4180
使用第一种方式可能会遇到bp版本太老无法安装等问题,可以尝试使用官网直接下载后导入的方式安装。备注:有的页面在发送验证码之前会有滑块验证,记得要针对发验证码的包进行并发。安装完成以后,Burp扩展中就会出现安装好的Turbo Intruder。在BurpSuite的扩展里的BApp商店可直接安装。
burpsuite爆破密码(含验证码)
热门推荐
Daniel的博客
10-10 6万+
题目是世安杯线上赛的一个题目 查看源代码,发现最下面有一行提示 密码是五位数字,所以想着爆破,但在burpsuite抓包后发现,每次登录,验证码都会改变,而且验证码不可以为空。这时就要去设置macros,具体设置方法 切换到 Burpsuite 的 Project options 选项卡,点击Macros下的add按钮 点击add按钮之后,这时候弹出两个窗口,一个是Macro
使用burpsuite绕过验证码
不忘初心,护天下安全!
01-05 2万+
0x00 前言         有关验证码的绕过,其实很多方法。最简单易懂的怕就应该是用bp强行爆库了。事实上,因为设了代理,很多网站会直接断开连接,当然了如果六位验证码,却只有一分钟有效时间,基本是没戏了。虽然我的MTP2018很给力,却也就此却步。前几日听大神的分享,结合自己入攻防不久的现实,我根据自己的水平做了一定的探索。 0x01 字典的准备          验证码分为两大种,一种...
短信验证码
11-16
本节将详细介绍如何通过Mob平台获取AppKey和AppSecret,以及如何实现短信验证功能。 首先,理解AppKey和AppSecret的概念。AppKey是应用程序的唯一标识符,用于识别调用服务的应用;而AppSecret则是一个保密的字符串...
EDU漏洞挖掘建议与方法
08-14
短信轰炸和验证码爆破是 EDU 漏洞挖掘中两种常见的漏洞短信轰炸指的是攻击者使用大量短信来攻击教育机构的服务器,例如短信验证码爆破。验证码爆破指的是攻击者使用工具来爆破教育机构的验证码。 在短信轰炸和...
python对接ihuyi实现短信验证码发送
01-20
在日常生活中我们经常会遇到接收短信验证码的场景,Python也提供了简便的方法实现这个功能,下面就用代码来实现这个功能。 一般我们需要租借短信供应商的服务器发送短信。如果是用于自学会有一定免费条数的限额。 ...
短信验证码接收平台-易语言源码+模块打包出售
03-31
短信验证码接收平台-易语言源码+模块打包出售 接码平台-易语言 写了的功能:1.短租/火云登录 2.火云释放手机号码(全部号码) 3.火云订单号补单 4. 短租/火云搜索项目 5.火云获取手机号(单个) 没写的功能: 1.短租...
burpsuite 插件开发——简单验证码爆破插件checkcode
yeyindong的博客
08-13 1万+
0x00 前言 前段时间由于经常碰上验证码爆破问题,便和一个朋友就此交换了意见,都认为可以使用google的开源项目tesseract-ocr来实现。本着造轮子的精神,他无中生有,用python开发了一整个爆破平台(开发完毕要开源)。我人穷志短,就基于burpsuite开发个插件敷衍了事。 0x01 安装 tesseract-ocr 限于实验经验有限,这里只说ubuntu和windows两种
小琳AI课堂:确保大语言模型安全的八大策略--从数据隐私到用户教育
最新发布
wx740851326的博客
09-15 93
首先,我们要明白,保证大语言模型的安全,需要从多个方面入手,确保模型在技术、法律、伦理和社会层面都得到妥善处理。大家好,这里是小琳AI课堂。今天我们深入探讨如何保证大语言模型的安全,这可是关系到我们每个人哦!
AI在医学领域:医学AI的安全与隐私全面概述
声纹感知 洞察芯声
09-12 1284
本文通过系统化地检查医疗应用领域并为未来的攻击研究奠定基础,提供一个医疗领域AI攻击研究的全面视角。
SSHamble:一款针对SSH技术安全的研究与分析工具
FreeBuf_的博客
09-11 1063
SSHamble是一款功能强大的SSH技术安全分析与研究工具,该工具基于Go语言开发,可以帮助广大研究人员更好地分析SSH相关的安全技术与缺陷问题。
无限边界:现代整合安全如何保护云
网络研究观
09-15 568
通过工具之间更有效的数据共享,整合的安全平台还应提供更紧密的安全集成以及更强的系统可视性(无论是在云端还是在本地),让您能够看到无限周界的边缘。
伙房食堂电气安全新挑战:油烟潮湿环境下,如何筑起电气火灾“防火墙”?
acrel002的博客
09-12 412
安科瑞的智能安全配电装置打破了传统用电防护领域中仅仅只能做到“事后处理”的技术瓶颈,提前将配电转换安全电,从源头抑制电弧火花的产生,大大降低火灾风险,同时系统实时监测电气线路中电压、电流、功率、温度、剩余(漏)电流、对地绝缘阻值等关键数据,智能识别电路异常风险,及时将报警信息传送至云管理系统,提醒用户单位及时进行故障排查。近几年,随着我国经济的飞速发展,食堂餐饮也经历了一场变革,越来越多的电器走进了伙房食堂中,实现了电气化,为人们提供了高效便利的饮食服务,但同时也增加了火灾负荷。
消防指挥中心控制台:守护安全的关键枢纽
JiaDeLi_console的博客
09-11 411
它不仅是信息的接收者,更是行动的发起者,协调各方资源,确保消防救援工作高效、有序地进行。消防指挥中心控制台是消防救援工作的关键环节,它以先进的设计、强大的功能和不断升级的科技,为守护人民生命财产安全发挥着不可替代的作用。在未来,随着科技的进一步发展,相信消防指挥中心控制台将变得更加智能、高效,为构建更加安全的社会环境贡献更大的力量。同时,控制台还配备了舒适的座椅,为指挥人员提供良好的工作条件。在消防应急救援的战场上,嘉德立消防指挥中心控制台犹如一座坚实的堡垒,发挥着至关重要的作用。二、先进的设计与功能。
3.比 HTTP 更安全的 HTTPS(工作原理理解、非对称加密理解、证书理解)
weixin_52173250的博客
09-07 1666
HTTPS(Hypertext Transfer Protocol Secure)是一种安全的超文本传输协议,主要用于在客户端和服务器之间安全地传输数据
构建常态化安全防线:XDR的态势感知与自动化响应机制
安胜ANSCEN的博客
09-11 1007
一款基于XDR理念的一站式安全运营平台,由长年实战对抗中形成的攻防知识经验指导设计,结合大数据、大模型与安全编排自动化响应技术,提供全局监测预警、自动化研判、智能响应、联防联控等能力,体系化提升全局态势感知和主动防御能力,规范化安全运营协同管理工作。星盾作为企业网络安全体系的安全大脑通过汇聚传统安全设备的数据,形成覆盖云、网、边、端全维度的神经元体系,实现跨边界、跨区域、跨设备的全方位安全检测和响应,为全局的安全态势感知、风险评估、资产台账管理、上下联动与协同等安全运营工作提供一站式解决方案。
web应用短信轰炸漏洞
09-03
Web应用短信轰炸漏洞,也称为“短信验证码暴力破解”,是指攻击者利用网站或应用程序的安全缺陷,通过发送大量的短信验证码尝试,来获取用户的敏感信息如登录密码或服务验证。通常这种攻击发生在用户需要输入验证码...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值