短信轰炸漏洞绕过的多种方法技巧

最新推荐文章于 2024-07-03 14:21:17 发布
最新推荐文章于 2024-07-03 14:21:17 发布
阅读量553 收藏
点赞数
分类专栏: 编程 技能树 计算机 文章标签: web安全 安全 网络安全 网络 漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lzhy666/article/details/132812929
版权
本文探讨了在web安全中遇到的短信轰炸漏洞,并分享了多种绕过方法,包括参数污染、变量污染、数据长度绕过、修改变量参数、Cookie替换、空格利用以及验证码和API接口的漏洞利用策略。这些案例展示了如何通过巧妙手段规避系统限制,实现短信验证的恶意利用。
摘要由CSDN通过智能技术生成

前言:

在测试甲方业务或者挖 SRC 等业务的时候,经常碰到发送短信验证的地方,我们可以联想到的就是任意用户登陆、短信轰炸、任意用户修改密码等逻辑性的漏洞, 简单的漏洞也是需要清晰的思维分析,拿几个短信轰炸多个绕过案例分享,高危挖不动低危拿来凑。


1. 参数污染绕过


参数污染,就是说后台发送短信的时候会取数字那部分,当你混入其他字符之后绕过了对已经发送的手机号码的限制的校验:

2. 变量污染绕过


所谓变量污染呢, 大概因为后台校验了第一个变量的内容都当成了值处理,但是当数据包在传递到后台过去的时候,如果参数名是一样的时候,是会以第二个、第三个、第四个…最后那个参数为基准去传递,因此绕过了后台的限制

最低0.47元/天 解锁文章
初阶羊
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
短信验证码逻辑漏洞学习——各种绕过姿势技巧
记录并分享学习安全的知识点..
04-04 1468
短信验证码逻辑漏洞学习——各种绕过姿势技巧
短信验证码
11-16
通过Mob平台获取AppKey和AppScret,实现短信验证的功能。
短信接口并发控制漏洞-解决方案
黑剑
08-30 861
在发送短信验证码的过程中,将每个发送请求放入一个队列中,然后按顺序处理队列中的请求。这可以通过记录用户的发送时间并在处理请求时进行检查来实现。如果短信验证码的发送和状态需要记录在数据库中,可以使用数据库事务来确保在发送短信的过程中,同时对相关数据进行加锁,防止多个请求同时修改同一个数据。如果使用数据库来存储短信验证码信息,可以在数据库查询和更新操作中使用排他锁,确保在操作期间其他请求无法修改相同的数据。在代码中使用互斥锁(Mutex)来保护发送短信验证码的操作,确保同一时间只有一个线程能够进入发送代码块。
Java“信息轰炸”
weixin_72377351的博客
07-03 34
原理:通过JDK调用操作系统得键盘操作事件,执行简单得粘贴+复制+回车(发送),代码执行后选中需要轰炸对象聊天窗口。即可通过调用键盘事件进行指定次数得消息发送适用于目前PC端得各种消息客户端(如:微信,钉钉)
Java场景面试题:短信验证码接口被狂刷,怎么办?
Tom弹架构
02-23 1829
请问短信验证码接口被狂刷,搞得服务都快要崩溃了,我该怎么办?
防止恶意攻击短信验证码接口方法
热门推荐
新新
07-12 1万+
防止恶意攻击短信验证码接口方法短信运营商调研选型
JAVA面试题分享五百六十三:如何防止短信盗刷和短信轰炸
之乎者也·的博客
02-21 1403
短信盗刷和短信轰炸的概念如下:短信盗刷是指使用某种技术手段,伪造大量手机号调用业务系统,盗取并发送大量短信的问题。这样会导致短信系统欠费,不能正常发送短信,同时也给业务系统方,带来了一定的经济损失和不必要的麻烦。短信轰炸是指攻击者利用某种技术手段,连续、大量地向目标手机号码发送短信,以达到骚扰、干扰或消耗目标用户的时间、流量与精力的目的。这种行为可能会对受害者造成骚扰、通信中断和手机电量消耗过快等问题。
短信验证码【java提高】
小心星的博客
07-15 1091
短信验证码【java提高】
java短信策略,防止短信盗刷,阿里云短信通道,短信通道安全策略,防短信轰炸
01-15
短信策略防盗刷,防短信轰炸短信通道防盗刷方案: 1.使用安全图形验证码,增加识别难度,防止通过自动化工具进行攻击请求; 2.每日限制每个手机号的发送次数; 3.单Ip的请求次数限制,防止攻击者对服务器进行大量...
web应用短信轰炸漏洞
最新发布
09-03
Web应用短信轰炸漏洞,也称为“短信验证码暴力破解”,是指攻击者利用网站或应用程序的安全缺陷,通过发送大量的短信验证码尝试,来获取用户的敏感信息如登录密码或服务验证。通常这种攻击发生在用户需要输入验证码...
短信轰炸漏洞复建议
07-19
短信轰炸攻击是一种利用大量垃圾短信复发送到目标手机,导致其服务受到影响的技术滥用手段。修复这种漏洞的建议主要包括: 1. **验证码系统**:加强用户验证机制,如采用二次验证、时间间隔限制等,防止短时间内...
短信验证码防攻击、防轰炸
qq_40024529的博客
12-03 6632
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Mar
JAVA脚本实现一个简单的消息轰炸机脚本-------桌面聊天工具都可以用
墨雨听风的博客
08-14 1412
原理:通过JDK调用操作系统得键盘操作事件,执行简单得粘贴+复制+回车(发送),代码执行后选中需要轰炸对象聊天窗口。即可通过调用键盘事件进行指定次数得消息发送适用于目前PC端得各种消息客户端(如:微信,钉钉)
Java后端防止获取短信验证码接口被恶意调用的代码实现
weixin_42023666的博客
04-30 6767
项目原来使用的短信验证码接口没有做安全校验,去网上查找了很多的解决方案,无非是在接口调用时添加图形验证码、单ip请求限制、限定每天每个号码获取短信验证码的次数、限制短信验证码的调用频率等。逛了一大圈,发现大家都只是信心满满的分享着一大堆逻辑和方法,至于具体的代码实现,就。。。大概大神们都觉得这东西没有什么技术含量吧。但是我觉得,所有的技术无论高低,业务不管复杂简单,都应该得到尊重,都...
java实现发送短信验证码、短信验证码防刷校验-49
suiyishiguang的博客
08-18 2507
【大型电商项目开发】商城业务-整合认证中心&验证码倒计时-49
短信验证码防攻击策略
亿美软通的博客
08-07 573
短信验证码的作用对于APP、网站而言不言而喻,是核验用户身份、保障用户账户安全的一道防线。然而,在企业网站和应用运营过程中,产品设计的小漏洞很容易造成短信验证码被攻击,给用户和企业带来麻烦。 短信验证码被攻击类型 通常来说,短信验证码被攻击分为两种情况,一是不法分子利用发送接口漏洞,通过不断变换IP地址的方式伪装成大批量手机号码获取验证,从而对企业信息费用造成高额损失;二是不法分子只攻击某个特定号码,反复向同一个手机号码发送验证码,对机主形成严重骚扰,并可能给企业带来投诉等不良影响。 防攻击策略 今天请亿美
避免短信接口被黑客攻击的方式
javagty6778的博客
03-05 735
这里为大家介绍了四个简单易行的避免短信服务接口被调用的方法,以及实际使用中的注意事项。限制短信的发送频率,限制同一电话号码、同一IP的短信发送次数,增加图形验证码,增加短信防火墙,都可以提高黑客攻击接口的难度。在实际的接口防护中,组合使用可以大大降低企业接口被攻击的风险,但是要注意确保真实用户的使用体验。防护方案最好在对接短信接口时同时实施,避免受到攻击后因难以立即发布新的应用版本遭受损失。
短信验证码最佳实践
AI研习社
10-03 353
开发者(KaiFaX)面向全栈工程师的开发者专注于前端、Java/Python/Go/PHP的技术社区作者 |GUOKUN来源 | www.cnblogs.com/guokun/p/...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值