记录一下:
网站中手机号已经成为最重要也是最普遍的验证方式了。
所以关注短信的问题。
1.重置密码/短信验证码登录时验证码回显。
直接通过抓包,若验证码直接出现在返回包则直接可以跳过手机验证的阶段。
2.验证码没有限制发送频率。
利用这个来做短信炸弹,
3.发送手机短信验证时不需要输入图片验证码直接发送。
直接可以调用接口,可以被人利用做短信轰炸。
4.可以控制短信内容。
抓包可以编辑短信内容,会被恶意利用发送诈骗短信。
记录一下:
网站中手机号已经成为最重要也是最普遍的验证方式了。
所以关注短信的问题。
1.重置密码/短信验证码登录时验证码回显。
直接通过抓包,若验证码直接出现在返回包则直接可以跳过手机验证的阶段。
2.验证码没有限制发送频率。
利用这个来做短信炸弹,
3.发送手机短信验证时不需要输入图片验证码直接发送。
直接可以调用接口,可以被人利用做短信轰炸。
4.可以控制短信内容。
抓包可以编辑短信内容,会被恶意利用发送诈骗短信。