测试对象的信息我就不公开了,全程打码这也是隐私问题 学习思路就好。首先打開要测试的网站找到注册页面;
上图我们可以看到,它这个站注册的时候是要发送验证码的一般比较大的电商网站都会有,不止电商還有很多它这个注册有什么不同呢?就是验证码这里没有做时间限制可以无限点击,第三方接码平台就会不停的发给你骚扰短信怎么弄
这样子的话,我们可以利用抓包工具修改拦截数据然后执行,实现骚扰短信怎么弄轰炸的效果当时Asey1k用的是Burp Suite,那我这里就用Fiddler4演示一紦吧简单粗暴~ 首先打开测试网站的注册页面;输入手机号-图片验证码-开启Fiddler4 红色T 抓包拦截-点击验证骚扰短信怎么弄发送。 这样就拦截到了請求的数据再按Shift+r 把数值调整成500
接着手机就会不停的收到骚扰短信怎么弄,直至500条发完为止;
通过对此次注册骚扰短信怎么弄验证码漏洞倳件的分析和利用为减少和杜绝此类事件的再次发生,提高安全预警能力在此提醒业界同仁加强关注日验证码逻辑漏洞的安全细节:
1、设置时间判断,比如60秒内限制发一条
2、验证码不要是4位数一般验证码的有效时间是10分钟,10分钟如果是4位数的验证码也就是=共1万次的可能性如果使用burpsuite,intruder attack进行骚扰短信怎么弄模糊测试验证,一般来讲5-6分钟就会跑完即可爆破出正确密码。
3、望厂商多关注敏感安全事件及时修复高危漏洞
发布了5 篇原创文章 · 获赞 3 · 访问量 2万+