[限时投稿]记一次短信轰炸漏洞

xuetu   ·   发表于 2021-07-20 20:05:27   ·   实战纪实
趁着活动也发个文章捞点金币,开场先感谢下那天周日山屿云大佬和spider大佬的思路分享,个人感觉大佬的分享最重要就是如何找目标(google语法的灵活利用)以及找哪些漏洞(看漏洞盒子提交时的选择框),我此次分享的短信轰炸漏洞就是根据大佬的思路来找的。
之前也想发些文章,但看大部分东西都有大佬发过了,我就不敢来丢人了,短信轰炸这个漏洞看没人提过,我就来丢个人吧先.

1、复现过程

进入注册界面,正常输入手机号,拖动验证条,之后获取验证码时burp抓包,

第一个包不知道什么意义,放过去,

主要第二个包,将其发送到repeader模块,一直go就可以

可以看到一直是成功,

这是我手机短信界面
2、总结
短信轰炸漏洞还是蛮好找的,一般就是在注册界面,反正就找目标站点会发短信的地方嘛,之后抓包,只要看到传参有手机号的地方就发到repeader模块一直go,如果有这个漏洞的话自己手机马上就会收到很多消息。
关于短信轰炸这个漏洞的防范,我这两天看到一种感觉还蛮有效,就是发出短信之后让用户重新输入一下验证码,好像掌控也是这样做的。

用户名金币积分时间理由
Track-聂风 18.00 0 2021-07-21 11:11:48 限时投稿奖励
Track-聂风 30.00 0 2021-07-21 11:11:33 一个受益终生的帖子~~

打赏我,让我更有动力~

0 Reply   |  Until 13天前 | 107 View
LoginCan Publish Content
返回顶部 投诉反馈

掌控者 © 2016 - 2021. All Rights Reserved. 掌控者

Powered by 掌控者