某公司公众号任意用户注册漏洞利用

最新推荐文章于 2024-04-16 16:35:14 发布
最新推荐文章于 2024-04-16 16:35:14 发布
阅读量1.9k 收藏 5
点赞数
分类专栏: 网络安全 文章标签: 安全 漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lynnlovemin/article/details/108643244
版权

现在大多平台用户注册都采用了手机号注册,通过发送验证码确保手机号的合法性。但是如果处理不当,则可能造成任意手机号注册等漏洞,就比如下面的某公众号。

漏洞利用

漏洞URL:

http://wx.xxxx.qjcode.com/app_api/login/register

复现步骤:
进入该公众号,点击个人中心->登录,并切换到注册界面:
在这里插入图片描述
点击发送验证码,随便输入验证码,并输入密码,点击确认,用BurpSuit拦截注册接口,爆破注册接口,可使任意手机号注册。
在这里插入图片描述
在这里插入图片描述

该公众号还存在忘记密码按照同样方式操作,可导致任意用户号密码修改漏洞。

防御策略

1.验证码设置为6位数 。

2.对验证码校验做限制,如输错5次则要求输入图片验证码。

3.缩短验证码有效时间。

4.限制每个验证码验证错误次数。

想学习更多网络安全的知识,可以关注公众号“SCLM安全团队”。

在这里插入图片描述

lynnlovemin
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
逻辑漏洞渗透与攻防(四)之任意账号注册
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
01-05 859
未验证邮箱/手机号,目前很多应用为了方便用户记录自己的用户名与密码,都可以使用邮箱跟手机号作为登录用户名,因此很多应用在注册的时候就要求用户填写,一般情况下该应用都会发送激活信息,用户在收到激活信息后才能登录。然而有时候开发人员并不去审核 邮箱/手机号是否有效,所以可以利用该缺陷,任意注册账号。
逻辑漏洞----任意账号注册
qq_44418229的博客
07-26 7081
逻辑漏洞--未验证,批量注册,个人信息伪造,前端绕过,用户名覆盖
常见中高危漏洞修复建议(汇总)
最新发布
weixin_59047731的博客
04-16 776
【代码】常见中高危漏洞修复建议(汇总)
任意注册漏洞
2301_80127209的博客
11-14 266
目录一漏洞介绍二实战演示三漏洞修复本文由掌控安全学院 - 小博 投稿1.未验证邮箱/手机号 情景:应用为了方便用户记录用户名,使用邮箱和手机号作为用户名(因此很多应用在注册的时候就要求用户填写,多数时候都会给用户发送激活信息,激活后才能登录) 缺陷: 1、未审核邮箱/手机号是否有效(及未发送验证信息),从而实现任意注册账号 2、未验证数据库中是否已经存在相同的用户名(导致同一账号,有2个密码,且用户数据产生读取问题)2、不安全验证邮箱/手机号 用户注册邮箱/手机号提交后,会通过发验证码等方法对其真实性进行
漏洞-任意账号注册
zkaqlaoniao的博客
11-14 500
1.未验证邮箱/手机号 情景:应用为了方便用户记录用户名,使用邮箱和手机号作为用户名(因此很多应用在注册的时候就要求用户填写,多数时候都会给用户发送激活信息,激活后才能登录) 缺陷: 1、未审核邮箱/手机号是否有效(及未发送验证信息),从而实现任意注册账号 2、未验证数据库中是否已经存在相同的用户名(导致同一账号,有2个密码,且用户数据产生读取问题)2、不安全验证邮箱/手机号 用户注册邮箱/手机号提交后,会通过发验证码等方法对其真实性进行验证 缺陷: 1、返回的验证码:验证码信息会隐藏在返回包中,或hidd
Java微信公众号开发之通过微信公众号获取用户信息
08-30
主要介绍了Java微信公众号开发之通过微信公众号获取用户信息,需要的朋友可以参考下
获取微信公众号关注用户信息
07-12
获取关注微信公众号的用户信息,及没有关注的,提示获取用户信息权限等
.NET微信公众号 用户分组管理
10-21
主要介绍了.NET微信公众号 用户分组管理,web页面设计,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
ASP.NET微信公众号之用户分组管理web页面
10-21
主要为大家详细介绍了ASP.NET微信公众号之用户分组管理web页面,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
获取任意公众号下面的所有文章
10-21
获取任意公众号下面的所有文章,这个是php的sdk,操作很简单实用
微信公众号爆出前端安全漏洞
weixin_45189747的博客
09-04 1001
昨日在公众号中挖掘到了一个 XSS 安全漏洞,具体复现流程如下: 发一篇公众号文章,标题中包含 <input onfocus="alert('1')"> 用户打开文章后,在写留言页面中会发现标题没有被转义,正常被渲染成了 HTML 用户点击被渲染出来的输入框后执行代码 以下是复现漏洞的视频 视频链接 现在我们来分析下这个漏洞的产生过程。 首先标题中存在 HTML <input...
Joomla! 任意用户注册与提权漏洞 请及时更新
weixin_34018202的博客
10-31 295
2019独角兽企业重金招聘Python工程师标准>>> ...
逻辑漏洞挖掘——任意账号密码(用户名/前端验证/激活验证/批量注册)
m0_61506558的博客
08-15 874
1、未验证邮箱/手机号未验证邮箱/手机号,目前很多应用为了方便用户记录自己的用户名与密码,都可以使用邮箱跟手机号作为登录用户名,因此很多应用在注册的时候就要求用户填写,一般情况下该应用都会发送激活信息,用户在收到激活信息后才能登录然而有时候开发人员并不去审核邮箱/手机号是否有效,所以可以利用该缺陷,任意注册账号。填写邮箱后,并没有在邮箱发现任何激活信息,且直接把邮箱当作用户登录名使用。.........
任意账号注册分析&&0元购物漏洞实战
永不垂头的博客
08-13 356
任意账号注册分析&&0元购物漏洞实战 一、任意账号注册分析 127.0.0.1:800/74cms_v3.1.20111210_beta/ http://127.0.0.1:800/74cms_v3.1.20111210_beta/user/user_reg.php 修改后,返回错误 发现与账号邮箱有关,发送到intruder,进行爆破。 爆破成功!!! 随机选取一个成功的进行登陆: 登录成功: 二、0元购物漏洞实战: 用burp抓包: 方法二: 则
任意用户注册
qq_41232519的博客
03-31 2380
1.注册页面随便填(电话号码最好11位,前端js验证),然后抓包,点击免费获取验证码, 2.返回包中存在判断,下图是验证码错误的时候 3.将状态值改为1,此时手机验证码已经发送出去了 4.这时候,手机验证码随便填4位数(不要问我为啥,因为用我自己的手机试过了),发送出去的包里面,只存在3个数据(手机号,手机短信验证码,密码) 5.将包发送到intruder中去(ctrl+i),将验证码...
浅析一次任意用户注册漏洞挖掘过程
李熠专用博客_白帽子一枚,人称低危终结者
10-09 2617
漏洞发现 输入手机号,点击发送验证码,发现验证码只有4位数字,我的经验告诉我,此处有一定概率存在任意用户注册漏洞漏洞利用 输入手机号,点击发送验证码,再依次输入验证码(此处随便输入,方便抓包)和密码,用BurpSuit抓包,并尝试验证码爆破。 最终成功注册。 漏洞修复 1.验证码设置为6位数。 2.对验证码校验做限制,如输错5次则要求输入图片验证码。 3.对同一个手机号,只允许有限次的错误校验。 ...
公众号个人注册突破
weixin_44143691的博客
10-15 336
哪位大佬知道个人可以注册五个公众号的办法,不要说现在只能注册一个,不用打别,知道可以一个人能注册五个才来问的.求大佬指点迷津## 公众号注册突破
逻辑漏洞任意用户登陆漏洞
zhangge3663的博客
03-13 4720
环境 环境: Web: phpstudy 5.4.45 System: Windows 10x64 源码版本为:vlcms_1.2.0 什么是任意用户登录漏洞 几乎每个网站都有自己的会员系统,有会员,就有登录机制,如果可以登录其他用户账户,那么就可以窃取其他用户的资料数据。如果配合上脚本的话,甚至可以批量获取用户的数据。对网站来说,任意用户登录是一个很高危的漏洞。 环境搭建 imag...
java实现公众号给用户发消息
09-03
要实现公众号给用户发消息,可以使用Java编程语言来实现。下面是实现的步骤: 1.首先,我们需要构建一个公众号的类,该类包含公众号的属性和方法。可以定义公众号的名称、ID、粉丝数量等属性,以及发送消息的方法。 2.然后,我们需要构建一个用户类,该类包含用户的属性和方法。可以定义用户的名称、ID等属性,以及接收消息的方法。 3.接下来,在公众号类中编写一个发送消息的方法。该方法会遍历所有粉丝的列表,调用每个粉丝的接收消息方法,将消息发送给每个粉丝。 4.在用户类中编写一个接收消息的方法。该方法会接收公众号发送过来的消息,并进行处理,比如将消息显示在用户界面上。 5.最后,在主程序中创建一个公众号对象和若干个用户对象,并调用公众号的发送消息方法,实现公众号给用户发消息的功能。 以上就是用Java实现公众号给用户发消息的大致步骤。当然,实际的实现可能会更加复杂,需要考虑到具体业务需求和技术细节。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

lynnlovemin

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值