【技术分享】短信验证码的相关利用方法与技巧

荔枝任性 2023-11-22 09:09:25  63650

分类专栏：资讯

在登陆界面漏洞挖掘中，短信验证码是一种常用的技术手段。本文将介绍短信验证码在登陆界面漏洞挖掘中的常见应用，并通过案例分析来提高大家对这一技术的认识。

短信轰炸的常用手法

短信验证码可能存在的问题

（用户使用注册、登录及密码找回功能期间）

案例分享

“+号”短信轰炸

某用户在注册或登录时，输入手机号码后，发现有人恶意在其号码后面加上“+号”，导致连续收到大量无用的短信验证码，严重干扰了其正常生活和工作。这些短信其实就是由不法分子利用自动发送短信的软件，对用户的手机号码进行恶意攻击，试图通过这种方式干扰用户的正常接收短信，从而盗取账户信息或进行其他非法活动。

注册环节中的短信验证码漏洞

在注册环节中，不法分子有可能利用双写手机号phoneNumber=131xxxx,132xxxx两个手机号收到的相同验证码，将其中一个手机号修改成自己，另一个手机号修改成他人，然后再提交注册申请。由于验证码是相同的，系统会误认为两个手机号都已验证通过，从而顺利完成注册。这样，不法分子就可以获取到他人的短信验证码，进而盗取其账户信息或其他非法活动。

利用双写手机号进行攻击

在获取短信验证码的过程中，利用“&”符号将两个手机号“phone=131xxxx”和“phone=132xxxx”同时写入请求数据包中。系统会为这两个手机号发送相同的验证码。不法分子可以利用这个漏洞，使用他人的手机号进行非法注册、登录或密码重置等操作。这种行为严重侵犯了他人的隐私和财产权益，并违反了相关法律法规和行业规定。

短信并发问题

在获取短信验证码的过程中，如果相关参数进行了加密处理，我们可以尝试寻找是否存在并发问题。如果存在并发问题，可能会引发短信轰炸现象。这种短信轰炸现象是由于多个请求同时发送到服务器，导致服务器在短时间内发送了大量的短信验证码到用户手机上，从而造成短信轰炸。这种行为可能会对用户的正常接收短信造成干扰，甚至可能被不法分子利用来进行恶意攻击。