web测试中的短信问题

最新推荐文章于 2022-05-06 11:13:41 发布
最新推荐文章于 2022-05-06 11:13:41 发布
阅读量397 收藏 1
点赞数
分类专栏: web安全 文章标签: 短信安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq1124794084/article/details/99699650
版权

记录一下:

网站中手机号已经成为最重要也是最普遍的验证方式了。

所以关注短信的问题。

1.重置密码/短信验证码登录时验证码回显。

直接通过抓包,若验证码直接出现在返回包则直接可以跳过手机验证的阶段。

2.验证码没有限制发送频率。

利用这个来做短信炸弹,

3.发送手机短信验证时不需要输入图片验证码直接发送。

直接可以调用接口,可以被人利用做短信轰炸。

4.可以控制短信内容。

抓包可以编辑短信内容,会被恶意利用发送诈骗短信。

黑面狐
关注
专栏目录
web渗透--42--本地文件包含/远程文件包含
武天旭的博客
09-21 2117
一、本地文件包含 1、漏洞描述 本地文件包含(也称为LFI)是利用应用程序存在有漏洞的包含程序,来完成包含文件的过程。例如,当页面接把包含文件的路径作为输入,但未经过适当的过滤,允许在输入插入目录遍历字符(…/)时,就容易出现这个漏洞。这个漏洞常出现在PHP、ASP、JSP等其他技术。 2、测试方法 当传递到include语句的路径未经过适当的过滤时,便会出现LFI漏洞,因此,测试时应该把文件名作为参数的脚本。
web测试常见安全问题和思路
HACKONE的博客
03-12 1721
web测试常见安全问题和思路登陆页面常见测试问题目录扫描口扫描弱口令万能密码暴力破解登录框xss登陆框SQL注入登陆状态码绕过用户名枚举用户名密码明文传输任意用户注册批量用户注册任意用户密码重置短信接口滥用邮箱接口滥用网站源码信息泄露验证码失效万能验证码验证码返回验证码可识别验证码缺失短信验证码可爆破验证码空绕过业务办理模块订单ID篡改测试手机号篡改测试用户ID篡改测试邮箱和站内信息发件人篡改测试商品编号篡改测试竞争条件测试业务授权模块非授权访问测试越权测试输入输出模块SQL注入XSS测试命令执行测试业务
java web 发送短信_java程序或javaweb(网站)向手机发送短信
weixin_36333097的博客
02-17 769
JAVA发送手机短信,大体有以下几种方法:(1)使用webservice接口发送手机短信,这个可以使用sina提供的webservice接口进行发送,但是需要进行注册;(2)使用短信猫的方式进行短信发送,这种方式应该是比较的常用,前提是需要购买硬件设备短信猫;(3)使用国网建提供的SMS短信平台,这里实现的demo也是基于这个接口是发送的;(需要注册)(4)采用国移动的飞信接口,但是针对用户...
短信炸弹jmeter验证方法
weixin_43834228的博客
11-28 4806
短信炸弹 危害:短时间内接收数条短信,致使手机卡顿死机等,另外也对手机使用者生活带来不必要的烦恼;某公司的短信下发接口被大规模利用,带来严重经济损失。 问题:通过爆破的方式向服务器频繁请求数据短信下发接口,达到攻击的效果。 修改建议:短信加条数限制;短信加频率限制。 测试方法:对于短信炸弹的验证,可以化归为对发短信接口的压力测试(并行测试),则测试方法为压力测试短信接口。 测试工具:jmete...
H5发短信功能(兼容主要浏览器)
10-14 478
// 判断用户的浏览器设备是移动还是pc function browserRedirect() { var sUserAgent = navigator.userAgent.toLowerCase(); // 用户代理 var bIsIpad = sUserAgent...
通用测试用例(一)
weixin_34406086的博客
02-20 325
页面检查 合理布局 1、界面布局有序,简洁,符合用户使用习惯   2、界面元素是否在水平或者垂直方向对齐   3、界面元素的尺寸是否合理   4、行列间距是否保持一致   5、是否恰当地利用窗体和控件的空白,以及分割线条   6、窗口切换、移动、改变大小时,界面显示是否正常   7、刷新后界面是否正常显...
web测试思路
仁化居之安
05-13 1227
一、功能测试 1、链接测试 点开功能点,能跳转的 所有链接是否都链接到,该链接的页面 页面是否存在 孤立页面,指没有链接指向该页面,只有知道正确的URL地址才能访问 2、表单测试 页面信息输入后,需要做相关提交操作的,比如:注册、修改密码、登录等 常见控件: 输入框:长度,数据类型,必填,重复,空格,空值,以及业务约束(短信验证码)等 下拉框: 默认信息, 数据完整性/正确性(第一条、最后一条、随机一条) 手动输入值,模糊匹配,联动选择 业务常见的选择操作 上传文件(图片、文本、视频等):大
web测试和app测试的区别你知道吗?
Zmtests703的博客
05-06 5909
随着科技的进步和互联网技术的迅速发展,各种web和应用程序全面普及,软件测试行业迎来了市场的火爆。web测试和app测试在软件测试市场上比比皆是,那么这两者之间到底有什么区别呢?
web测试,App测试,小程序测试区别
HONGTester的博客
07-19 9927
web测试,App测试,小程序测试的简介
十个免费的Web压力测试工具
03-23
本文列举了是十个免费工具,可以用来进行Web的负载/压力测试的。这样你就可以知道你的服务器以及你的WEB应用能够扛得住多少的并发量,以及网站性能。  本文列举了是十个免费工具,可以用来进行Web的负载/压力测试的...
Web_SMS.rar_sms_web s_web sms_平台_短信
09-20
Web_SMS.rar_sms_web s_web sms_平台_短信】这个压缩包文件主要涉及的是Web SMS技术,即通过网络实现短信发送与管理。这在现代通信是非常常见的一种方式,尤其在企业服务、营销推广、客户服务等领域应用广泛。...
BBS.rar_java web BBS论坛_java web 论坛_论坛短信
09-23
Web开发,这样的功能通常涉及到用户交互、数据存储以及安全性的考虑。短信息系统是论坛活跃度和用户粘性的重要组成部分,它允许用户在不公开场合进行私密对话,增强社区内的交流。 【标签】: 1. **Java Web**...
短信web开发
08-15
在这个项目,我们将深入探讨如何集成短信猫与Web平台,实现短信的收发。 首先,我们要了解短信猫的工作原理。短信猫通过USB通信协议与计算机交互,这种通信通常基于CDC(通用串行总线类定义)或虚拟COM口。...
sqlmap注入使用教程
热门推荐
黑面狐
09-05 8万+
最近在学习SQL注入的东西。自己搭建了一个wavsep靶机,作为练习的对象,之后有空会写一个wavsep的教程。 首先下载安装sqlmap..github传送门:https://github.com/sqlmapproject/sqlmap/releases 一、sqlmap选项   目标:至少要选一个参数     -u URL, --url=URL   目标为 URL (例如. "ht
CNVD原创漏洞证书总结
黑面狐
09-12 4万+
之前打算申请个CNVD的原创漏洞证书。经过这一个多月的时间证书下来了,现在简单总结一下。 原创漏洞审核和处理流程参考此链接:http://www.cnvd.org.cn/webinfo/show/3933 然后我就说说我提交过两个后台的文件上传漏洞 7.26提交-7.27二审通过,验证通过-9.4三审通过,漏洞归档-9.9漏洞公开 我在想漏洞公开了,怎么证书也应该下来了,我这个通用型的漏洞...
Tomcat任意文件上传漏洞CVE-2017-12615复现测试
黑面狐
09-20 3万+
今天爆出了一个tomcat7的任意文件上传漏洞,看了大牛们的分析后,我自己本地搭建环境复测。 漏洞影响的tomcat版本为tomcat7.0.0-7.0.81版本 我本地下载的是tomcat7.0.56版本测试 测试过程: 1.下载tomcat7.0.0-7.0.81版本,解压后修改conf/web.xml文件添加readonly参数,属性值为false 如图: 然后启动tom
常见的判断网站cms方法
黑面狐
01-31 2万+
今天有同事给了个域名让我判断这个是什么cms,判断完后记录一下cms的几种判断方法。 1.robots.txt文件 robots.txt文件我们写过爬虫的就知道,这个文件是告诉我们哪些目录是禁止爬取的。但是大部分的时候我们都能通过robots.txt文件来判断出cms的类型 如: 从wp路径可以看出这个是WordPress的cms 这个就比较明显了直接告诉我们是PageAdmin
利用xss漏洞窃取cookie登录
黑面狐
08-23 1万+
今天在测试自己产品的时候,发现有个地方输入框执行javascript脚本。 正好趁着这个机会给小伙伴们演示xss的危害。 首先在XSS平台上搭建一个测试项目。 我用的是http://xss.fbisb.com这个的免费平台 项目配置选择默认就可以了。 然后直接复制平台提供的代码到存在xss漏洞的地方 保存以后,我让另一个同事登录,并点击这个模块。 这是XSS平
网络安全攻防实验室通关教程-注入关
黑面狐
10-19 1万+
网络安全实验室传送门: 地址:http://hackinglab.cn  第一题:最简单的SQL注入 查看网页源码,获取到提示,要登录admin 所以构造用户名  admin' or 'a'='a'#   密码随便填, 获取到flag 第2题:最简单的sql注入(熟悉环境) 查看网页源码获得提示参数id=1  是数字型注入 于是构造url    index.
web手机号短信验证码接口测试
最新发布
09-14
- 测试短信验证码的有效性:验证接收到的短信验证码是否与预期一致。 - 测试短信验证码的过期性:验证短信验证码是否在一定时间内过期。 - 测试短信验证码的正确性:验证短信验证码是否只能被正确的手机号接收并...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值