获取短信验证码接口存在短信资源消耗漏洞

已于 2023-08-20 21:32:43 修改
阅读量633 收藏
点赞数
分类专栏: 遇到的bug 文章标签: 微信 spring cloud java spring boot 小程序 redis
于 2023-07-16 17:59:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45979191/article/details/131753027
版权
文章讨论了短信验证码接口存在的安全漏洞,即无请求频率限制导致的短信资源耗尽。为解决此问题,提出了限制单个用户接口请求频率和引入图形验证码的策略。图形验证码通过Redis缓存管理,确保一次性有效,并在代码示例中展示了其实现过程,同时对同一IP地址的请求进行了限制,以防止恶意攻击。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

获取短信验证码接口存在短信资源消耗漏洞

用户登录发送手机验证码接口未做请求频率限制,存在短信资源消耗漏洞,消耗目标系统的短信资源。这可能导致用户无法接收重要的短信,如验证码、一些通知等,给用户造成不便和安全风险。

获取短信验证码接口:

接口只限制针对单个手机号的短信发送限制,
可遍历全国手机号码发送短信,短时间内消耗大量短信,
给集团信誉和系统正常运行造成影响。

解决方案:

针对单个用户的接口请求频率进行限制,加入图形化验证码机制。


图形验证码:

1、使用redis缓存,设置key为手机号加随机uuid,将手机号与验证码绑定起来,一个验证码仅对一个手机号使用。
2、使用redis缓存,图形验证码校验正确或验证错错误,都将redis中该手机号对应的验证码删除,保证图形验证码的一次性失效。

使用jar包:hutool-all-5.8.1.jar

@GetMapping("/create/{uid}/{phone}")
@ApiOperation("获取图形验证码")
public void getPicCode(@NotBlank(message = "uid不能为空") @PathVariable String uid, @NotBlank(message = "手机号不能为空") @PathVariable String phone,HttpServletRequest request, HttpServletResponse response){
   
    userService.createImage(uid,phone,request,response);
}

注意:
a、获取图形验证码接口需要在资源配置类中给路径放行,不需要token即可调用。
b、需要使用GET请求方式,路径参数,这样前端才能接收到返回的图片验证码地址

@Override
public void createImage(String uid,String phone, HttpServletRequest request, HttpServletResponse response) {
   
    if (phone == null){
   
        throw new BusinessException(ErrorStatus.INTERNAL_SERVER_ERROR, "手机号不能为空!");
    }
    ShearCaptcha shearCaptcha = CaptchaUtil.createShearCaptcha(100, 25, 3, 1);
    ServletOutputStream outputStream = null ;
    try {
   
        shearCaptcha.setFont(new Font("微软雅黑",Font.PLAIN
最低0.47元/天 解锁文章
【网络安全 | 漏洞挖掘】分享22个基础漏洞案例
等风来
03-03 1345
某Web应用的 cms/upload.jsp 接口用于上传文件。然而,在未登录的情况下,直接使用 GET 或 POST 请求访问该接口,会返回错误信息。
网络安全 | 零信任架构:重构安全防线的未来趋势
热门推荐
CSDN博客专家,系统架构师,有合作、疑惑请私信博主。
02-06 6万+
网络安全 | 零信任架构:重构安全防线的未来趋势,在当今数字化飞速发展的时代,网络安全面临着前所未有的挑战。传统的网络安全模型在应对复杂多变的威胁时逐渐暴露出诸多局限性。零信任架构作为一种新兴的网络安全理念与方法,正逐渐崭露头角并引领着网络安全防线的重构。本文深入探讨零信任架构的核心概念、原理、关键技术组件、与传统安全模型的对比、在不同应用场景中的实践以及面临的挑战与未来发展趋势等多方面内容,旨在全面剖析零信任架构如何重塑网络安全格局,为网络安全领域的专业人士、研究人员以及相关从业者提供深入的知识……
资源消耗漏洞+支付漏洞+抓包练习
m0_74360619的博客
11-01 769
资源消耗漏洞+支付漏洞+抓包练习
关于验证码的那些漏洞
baimaozi008的博客
05-29 2564
本教程的目的在于最大限度地唤醒大家对网络安全的重视,并采取相应的安全措施,从而减少由网络安全而带来的经济损失。简单的系统存在可以直接爆破的可能性,但做过一些防护的系统还得进行一些绕过才能进行爆破。对于6位纯数字验证码:六位数的验证码1000000位,单从爆破时间上来看就比4位数的多100倍。手机号码前后加空格,86,086,0086,+86,0,00,/r,/n, 以及特殊符号等。用户绑定了手机号,正常来说是获取绑定手机号的短信,通过burp修改成其他手机号。点击提交,抓包改成其他刚刚接收短信的手机号。
深入探索短信轰炸漏洞及 Bypass 技巧
最新发布
m0_57836225的博客
02-26 1182
短信轰炸漏洞,简单来说,就是攻击者可以通过恶意手段无限制地向目标手机号码发送短信或邮件。这种漏洞通常出现在需要进行身份验证的场景中,比如登录验证码获取、账号修改验证等位置。在这些场景下,如果系统对短信发送机制没有进行严格的限制和验证,攻击者就能够利用漏洞,通过不断发送请求,导致目标手机收到大量的短信,造成骚扰甚至影响正常使用。
关于短信消耗攻击的认识以及防御
weixin_30315905的博客
12-27 571
我们都知道门户网站的登录好多都需要验证码,将发送给你的短信验证码,输入到页面才能完成登录或者注册,可是短信是要钱的,都是老板花钱卖的,如何防止恶意的人无休止,请求验证码呢?如果老板短信费一天耗尽他将大为恼怒:我冲的钱一天就没了怎么没见一个人注册成功。当此之时作为项目负责人的你该如何是好? 来先看一个简单的, 当然这是一个假手机号码,然后看一下请求: 崩溃,我不知道这个网站是怎么活到现...
短信逻辑漏洞
1stPeak's Blog
09-04 1354
文章目录示例1示例2示例3 注:文章相关法规要求,有些词汇不能显示,真实为短信hz漏洞 示例1 发送到爆破模块,修改POST请求内容 POST /registerform HTTP/1.1 Host: www.xxx.com.cn User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:52.0) Gecko/20100101 Firefox/52.0 Accept: application/json, text/javascript, */*; q=0
记一次短信轰炸实战漏洞挖掘
记录开发和安全学习过程中的点点滴滴
08-16 3603
漏洞是很久之前第一次挖小程序时碰到的第一个漏洞,最后经过测试发现PC端和小程序使用的是同一个接口,本次的漏洞过于简单,仅做记录和小白学习.免责声明博文中涉及的方法可能带有危害性,仅供安全研究与教学之用,读者将其方法用作做其他用途,由读者承担全部法律及连带责任,文章作者不负任何责任.
短信验证码保护】:防止刷码与攻击的5个实用策略
短信验证码系统是一种广泛应用于互联网服务的安全验证机制,其主要功能是为用户提供一种快速、简便的验证方式,以保证用户身份的真实性和交易的安全性。在本章中,我们将深入探讨短信验证码系统的组成、其在互联网...
漏洞+常见漏洞修复建议
NSQ0207的博客
08-16 616
文件上传漏洞通常由于代码中对文件上传功能所上传的文件过滤不严或web服务器相关解析漏洞未修复而造成的,如果文件上传功能代码没有严格限制和验证用户上传的文件后缀、类型等,攻击者可通过文件上传点上传任意文件,包括网站后门文件(webshell)控制整个网站。Web程序代码中对用户提交的参数未做过滤或过滤不严,导致参数中的特殊字符破坏了HTML页面的原有逻辑,攻击者可以利用该漏洞执行恶意HTML/JS代码、构造蠕虫、篡改页面实施钓鱼攻击、以及诱导用户再次登录,然后获取其登录凭证等。
被恶意刷验证码短信怎么办?
weixin_46641057的博客
02-04 7058
短信验证码被刷怎么办?一 事件简述二 问题分析三 应急解决方案1 黑名单模式拦截2 请求验证拦截3 应急方案总结四 最终解决方案第一步:获取防火墙帐号密钥第二步:下载防火墙服务器第三步:前后端接入查看防火墙数据 一 事件简述 这是一件发生在前段时间的事情,当时的情况是这样的:一个新的功能模块上线之后,出现短信接口被恶意访问调用的情况,请求数量很大,而且通过查看短信服务商控制台也发现,短信发送量在飙升,看着统计曲线的增长,紧张的气氛也渐渐变得更浓,很明显,事情并不是遇到一个bug那么简单,因为牵涉到服务费用,
验证码漏洞汇总(一)
weixin_45095113的博客
11-11 2542
验证码漏洞
获取手机验证码
zhuzhu_YT的博客
12-03 1891
前几集我们就完成了个人信息窗口的个人昵称和个人个性签名的修改,那么我们还有一个修改内容是我们的绑定手机号的修改,这个内容的前提是我们要完成获取手机验证码的相关功能,所以这一集我们就来完成获取手机验证码的功能。
Java使用第三方短信验证码接口实现手机验证码登录功能教程
Love Peace
04-11 2742
本文将介绍如何通过接入容联云第三方短信验证码接口,来实现手机短信验证码登录。登陆成功后会送 8 元,可以用于测试。
手把手教你挖赏金系列(2)如何挖掘短信验证码漏洞
小司机的奥拓
06-20 1801
短信验证码复用漏洞简单的说就是你使用的验证码在登陆完成后,不会失去效果再次去登录时,使用该验证码任然有效。手机号码前后加空格,86,086,0086,+86,0,00,/r,/n, 以及特殊符号等修改cookie,变量,返回138888888889 12位经过短信网关取前11位,导致短信轰炸进行能解析的编码。漏洞挖掘是指通过分析软件、系统或网络中存在的安全漏洞来发现并利用这些漏洞漏洞挖掘是信息安全领域的一项重要工作,可以帮助企业和组织提高系统的安全性,避免黑客攻击和数据泄露。
获取短信验证码接口爆破测试漏洞问题
weixin_45979191的博客
07-16 718
获取短信验证码接口爆破测试漏洞问题
(36.1)【验证码漏洞专题】验证码复用、无效验证码、未绑定验证码、前端获取、暴力破解、回显……
04-16 6826
【专题】验证码漏洞专题
【百数功能详解】如何接入手机验证码获取API
weixin_56801855的博客
04-27 1277
基本上需要登陆的系统都喜欢通过手机短信验证的方式,来获得访问用户为真实用户的信息,可以大大减少网络的恶意访问。百数低代码开发平台也可以通过手机验证码API接入的方式达到这个目的。 模块效果 功能模块配置完成后,在正式使用时,效果如下图: 手机验证码获取 手机验证码获取一般可以作为一种身份验证,如:A表单需要是本人才能登记数据,那么我们可以采用用手机验证码的方式来实现,同时还可以限制获取验证码的间隔时间、验证个数上限等。 模块配置入口 根据自己的实际需求,选择目标控件,在控件属性栏里点击【模块接口设置】 。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值