[限时投稿]记一次短信轰炸漏洞

趁着活动也发个文章捞点金币，开场先感谢下那天周日山屿云大佬和spider大佬的思路分享，个人感觉大佬的分享最重要就是如何找目标（google语法的灵活利用）以及找哪些漏洞（看漏洞盒子提交时的选择框），我此次分享的短信轰炸漏洞就是根据大佬的思路来找的。
之前也想发些文章，但看大部分东西都有大佬发过了，我就不敢来丢人了，短信轰炸这个漏洞看没人提过，我就来丢个人吧先.

1、复现过程

进入注册界面，正常输入手机号，拖动验证条，之后获取验证码时burp抓包，

第一个包不知道什么意义，放过去，

主要第二个包，将其发送到repeader模块，一直go就可以

可以看到一直是成功，

这是我手机短信界面
2、总结
短信轰炸漏洞还是蛮好找的，一般就是在注册界面，反正就找目标站点会发短信的地方嘛，之后抓包，只要看到传参有手机号的地方就发到repeader模块一直go，如果有这个漏洞的话自己手机马上就会收到很多消息。
关于短信轰炸这个漏洞的防范，我这两天看到一种感觉还蛮有效，就是发出短信之后让用户重新输入一下验证码，好像掌控也是这样做的。