优秀的人,不是不合群,而是他们合群的人里面没有你
最近着手开始查看逻辑漏洞相关资料,看了两篇想找个例子试一试,百度搜索商城关键词,随便找了一个,运气比较好发现两个逻辑漏洞
首先注册一个账号,这里存在短信轰炸,即反复发送数据包即可
再登陆部分,使用短信验证码登陆,验证码为4位数纯数字,时间为10分钟,直接爆破即可。
获取验证码不存在短信轰炸,但是登陆部分是4位数串数字,生成一个字典,直接爆破。
发现登陆部分也存在爆破,因为登陆不需要验证码,直接爆破
总结:
- 凡是看到可以发短信的地方,多重复发几次数据包
- 如果使用验证码登陆,获取到验证码发现都是纯数字,尝试爆破验证码