找回密码
快捷导航
前言

在网站的注册,找回密码,绑定手机,等,目前越来越多的企业改用邮箱为手机验证码来进行验证,一方面手机是可以及时联系到用户,另外一方面安全性也增加了不少,今天就说说验证码的这块事情。

利用方式

首先:

A手机号:18888888888

B手机号:19999999999

我们去注册用户:

1.png

用A手机号去注册,获取验证码。

输入验证码:476237  点击抓取数据包。

2.png

修改手机号为 19999999999

3.png

4.png


注册成功

5.png

分析原因

这种漏洞其实很容易理解,那就是程序员只是判断了当前验证码是否有效,并没有判断其是给那个手机号发送的。从而造成了此漏洞的发生。


诚殷网络专注WEB安全培训!
  • TA的每日心情

    2018-6-29 22:07
  • 签到天数: 3 天

    连续签到: 2 天

    [LV.2]偶尔看看I

    0

    主题

    6

    帖子

    75

    积分

    诚殷学员

    Rank: 10Rank: 10Rank: 10

    积分
    75
    发表于 2018-9-1 21:49:24 | 显示全部楼层
    沙发
    打码技术,没谁了。
    他没有一个有个性的自我介绍,你们不要理他!
      您需要登录后才可以回帖 登录 | 立即注册

      本版积分规则

      Powered by Discuz! X3.4  © 2001-2013 Comsenz Inc.