现在大多平台用户注册都采用了手机号注册,通过发送验证码确保手机号的合法性。但是如果处理不当,则可能造成任意手机号注册等漏洞,就比如下面的某公众号。
漏洞利用
漏洞URL:
http://wx.xxxx.qjcode.com/app_api/login/register
复现步骤:
进入该公众号,点击个人中心->登录,并切换到注册界面:
点击发送验证码,随便输入验证码,并输入密码,点击确认,用BurpSuit拦截注册接口,爆破注册接口,可使任意手机号注册。
该公众号还存在忘记密码按照同样方式操作,可导致任意用户号密码修改漏洞。
防御策略
1.验证码设置为6位数 。
2.对验证码校验做限制,如输错5次则要求输入图片验证码。
3.缩短验证码有效时间。
4.限制每个验证码验证错误次数。
想学习更多网络安全的知识,可以关注公众号“SCLM安全团队”。