某次公众号漏洞挖掘时,发现一个短信轰炸漏洞,简单记录一下。

注册时填写好相关信息后点击发送验证,请求如下:

SRE实战 互联网时代守护先锋,助力企业售后服务体系运筹帷幄!一键直达领取阿里云限量特价优惠。

记一次短信轰炸漏洞挖掘 随笔 第1张

不断发送请求,发现最多只能发送8条短信验证码:

记一次短信轰炸漏洞挖掘 随笔 第2张

测试发现不断修改JESSIONID可以绕过此限制,实现短信轰炸:

记一次短信轰炸漏洞挖掘 随笔 第3张

 记一次短信轰炸漏洞挖掘 随笔 第4张

 

 

 

over~

 

扫码关注我们
微信号:SRE实战
拒绝背锅 运筹帷幄