逻辑漏洞之短信轰炸与登陆爆破案例

优秀的人,不是不合群,而是他们合群的人里面没有你

最近着手开始查看逻辑漏洞相关资料,看了两篇想找个例子试一试,百度搜索商城关键词,随便找了一个,运气比较好发现两个逻辑漏洞

首先注册一个账号,这里存在短信轰炸,即反复发送数据包即可

再登陆部分,使用短信验证码登陆,验证码为4位数纯数字,时间为10分钟,直接爆破即可。

获取验证码不存在短信轰炸,但是登陆部分是4位数串数字,生成一个字典,直接爆破。

发现登陆部分也存在爆破,因为登陆不需要验证码,直接爆破

总结:

  1. 凡是看到可以发短信的地方,多重复发几次数据包
  2. 如果使用验证码登陆,获取到验证码发现都是纯数字,尝试爆破验证码
坚持原创技术分享,您的支持将鼓励我继续创作!
------ 本文结束 ------

版权声明

LangZi_Blog's by Jy Xie is licensed under a Creative Commons BY-NC-ND 4.0 International License
由浪子LangZi创作并维护的Langzi_Blog's博客采用创作共用保留署名-非商业-禁止演绎4.0国际许可证
本文首发于Langzi_Blog's 博客( http://langzi.fun ),版权所有,侵权必究。

0%