获取短信验证码接口爆破测试漏洞问题

已于 2024-02-27 20:31:06 修改
阅读量398 收藏
点赞数
分类专栏: 遇到的bug 文章标签: java 微信 小程序
于 2023-07-16 17:53:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45979191/article/details/131752999
版权

获取短信验证码接口爆破测试漏洞问题

获取短信验证码接口,存在无限制向不同手机号发验证码,可能会出现攻击者遍历全国手机号批量发送验证码,存在安全隐患。

解决方案:

对发送验证码端做一个IP速率限制

//同一个IP地址限制次数
String ipAddress = IPUtils.getIpAddress(request);
boolean timeCount = cacheService.setnx("IP" + ipAddress + phone, "1");
if (timeCount) {
    cacheService.setKey("IP" + ipAddress + phone, "1", 1L, TimeUnit.MINUTES);
    //每小时只能发送五次
    Long sendNumLimit = cacheService.boundValueOps("IP" + ipAddress + phone + "count", 1);
    if (sendNumLimit == 1) {
        //设置一小时后过期
        cacheService.expire("IP" + ipAddress + phone + "count", 1L, TimeUnit.HOURS);
    }
    if (sendNumLimit > 5) {
        throw new BusinessException(ErrorStatus.ILLEGAL_ARGUMENT, "当前用户IP地址请求超出限制,请稍后再试");
    }
} else {
    throw new BusinessException(ErrorStatus.ILLEGAL_ARGUMENT, "请勿重复发送,请一分钟后重试");
}
乐悠777
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
网络安全漏洞——验证码漏洞
A906003660的博客
07-24 2142
网络安全漏洞——验证码漏洞
发短信接口获取验证码
weixin_33757911的博客
07-03 196
接口合作公司  :http://sms.inolink.com/LoginFront.aspx  从这里获取id <?php function execPostRequest($url,$fields){ if(empty($url)){ return false;} //$fields_string =http_build_query($post_array); ...
手写一个获取验证码的接口,超级简单
小甘说码的博客
06-29 576
手写一个获取验证码接口
漏洞挖掘思路短信验证码相关的逻辑漏洞
yuan_boss的博客
08-18 2058
​ 在漏洞挖掘中,我们经常遇到具有验证码功能的网站,例如登录,注册,找回密码,领取优惠券,修改信息等地方,几乎都有用到获取验证码,验证码一般都是4位的或者6位的,以下一些技巧很多都是针对增加提交企业SRC漏洞审核成功率的。1、验证码爆破2、验证码回显3、验证码与手机未绑定认证关系4、修改返回包绕过验证码5、验证码转发6、任意验证码登录7、验证码为空登录8、固定验证码登录9、验证码轰炸​ 通过以上短信验证证明逻辑漏洞的详解,相信读者们能充分意识到信息收集的重要性。
常见验证码漏洞总结
kracer的博客
11-29 8423
目录 0X00 介绍 0X01验证码分类 0X02 常见验证码漏洞 0X03修复建议 0X00 介绍 验证码(CAPTCHA)作为人机区分的手段,在计算机安全领域发挥着不可小觑的作用。缺少验证码,攻击者可通过暴力破解的方式非法接管用户账户,或对网站进行任意用户注册等。设置验证码就是为了防止自动化攻击,但是如果没有设计好的话就形同虚设,所以了解验证码的原理及产生漏洞的原因有助于更加全方位的提高网站的安全指数。 验证码的机制原理: Step1:...
Codex验证码后台爆破V2.1
06-02
验证码图片url写入可识别,可结合爆破
弱口令爆破(图片验证码爆破工具)
03-01
用于带有图片验证码弱口令爆破
pkav验证码爆破工具
05-14
pkav验证码爆破工具
短信验证码
11-16
通过Mob平台获取AppKey和AppScret,实现短信验证的功能。
基于vue的短信验证码倒计时demo
08-29
"基于Vue的短信验证码倒计时Demo解析" 基于Vue框架的短信验证码倒计时Demo是近年来非常流行的开发技术,许多开发者在开发过程中都会遇到短信验证码倒计时的需求,本文将详细介绍基于Vue的短信验证码倒计时Demo的...
验证码的三个常见漏洞和修复方法
09-03
主要介绍了验证码的三个常见漏洞和修复方法,本文讲解了把验证码存储在Cookie中、没有进行非空判断、没有及时销毁验证码三个常见问题和解决方法,需要的朋友可以参考下
验证码识别 登陆 爆破 暴力破解 工具F-Login F-Verify
04-19
验证码识别 登陆 爆破 暴力破解 工具F-Login F-Verify,国内安全团队开发的验证码识别工具,能够识别验证码并实现密码爆破
通过接口获取校验码
code12313的博客
10-25 654
/处理浏览器兼容性。通过接口验证session保持一致,需要在ajax请求中加。
验证码及登录中的漏洞分析
KHOST的博客
06-02 3248
进行这个整理,是因为在XXX项目的时候,发现登录模块的忘记密码功能,在验证用户身份的时候是通过手机验证码验证的。通过修改响应包的返回参数值,可以绕过验证,进入第三步的密码重置。还有最近测试的一个sso登录,也存在验证码问题。 之前的测试中也遇到过类似的验证码绕过的漏洞,所以对验证码绕过方法进行一个总结,以及关于登录模块可能会存在的逻辑漏洞进行一个小整理。 其实,会出现验证码的地方,也就是校验用...
业务逻辑漏洞——浅谈验证码漏洞
0nc3的博客
10-29 2545
一、验证码漏洞 验证码机制主要用于用户身份识别,常见可分为图片验证码、数字验证码、滑动验证码、短信验证码、邮箱验证码等 根据形成原因可分为: 1.验证码暴力破解 服务端未对验证时间、次数作出限制,存在爆破的可能性 防范:提高验证码的长度、复杂度 2.验证码重复使用 在验证码首次认证成功后没有删除session中的验证码,使得该验证码可被多次成功验证,造成危害 防范: 3.验证码回显 验证码直接...
敏感信息泄露结合验证码爆破利用
白帽渗透笔记的博客
01-13 3517
阅读本文大概需要 1.4 分钟 一个朋友开发的 APP,让我有空帮忙看一下,于是我下载下来玩了一下。 电脑开启 Charles,手机设置好代理,开始抓包。 进入首页,看到一个用户发的内容。 点进内容,同时查看抓取的请求。 查看请求内容详情的接口,发现有一个参数 id,一般这种地方都存在 sql 注入。拿 sqlmap 跑了一下,结果并不存在注入。 不管这个了。点击发布者头像,进入用户个人主页,同时查看抓包内容。 没想到居然返回了该用户的手机号手机号也就是对方的账号,拿到了账号就可以干很多事了.
验证码爆破绕过
小刚的博客
04-02 8228
一,验证码目的: 区分用户是计算机和人 证明自己的身份,手机短信验证码,微信登录等 大多数的网站都会在很多地方设置各种验证码. 防止而已破解密码,刷票等,防止黑客对某一个特定的注册用户进行爆破。 二,验证码种类: 传统字符验证码: 由数字或者汉字组成的图片,通过添加各种噪点增加识别难度,可通过OCR技术进行破解 当验证码只有4位,可直接爆破数字验证码。 如果是6位,在半小时内无限制提交也可以暴力破...
逻辑漏洞之验证码绕过、密码找回漏洞
qq_68233961的博客
09-25 3280
逻辑漏洞之验证码绕过、密码找回漏洞
网络渗透----验证码绕过、密码找回漏洞
EdisonJH的博客
03-13 1717
验证码绕过、密码找回漏洞 —笔记和实战 一、验证码作用 验证码(CAPTCHA)是:全自动区分计算机和人类的图灵测试的缩写、是一种区分用户是计算机还是人的全自动程序。 验证码可以防止:恶意破解密码、刷票、邮箱防止黑客对一个特定的程序暴力破解方式进行不断的尝试登录、实际上验证码是很多网站通行的方式、我们利用比较简易的方式实现了这个功能。 验证码五花八门:纯文本、点击字符、邮箱注册、滑块验证码 。 二...
burpsuite绕过验证码爆破
最新发布
09-08
而在付费版本中,你可以下载对应的插件并调用收费接口,可以提高验证码的识别准确性。另外,引用中还提到了一种进阶版本,直接调用收费API进行爆破。此外,引用中指出,最好的方式是编写Python脚本进行爆破,以应对...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值