浅析一次任意用户注册漏洞挖掘过程

Posted lynnlovemin

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了浅析一次任意用户注册漏洞挖掘过程相关的知识,希望对你有一定的参考价值。

漏洞发现


输入手机号,点击发送验证码,发现验证码只有4位数字,我的经验告诉我,此处有一定概率存在任意用户注册漏洞。

漏洞利用

输入手机号,点击发送验证码,再依次输入验证码(此处随便输入,方便抓包)和密码,用BurpSuit抓包,并尝试验证码爆破。


最终成功注册。

漏洞修复

1.验证码设置为6位数。

2.对验证码校验做限制,如输错5次则要求输入图片验证码。

3.对同一个手机号,只允许有限次的错误校验。

想学习更多网络安全的知识,可以关注公众号“SCLM安全团队”。

以上是关于浅析一次任意用户注册漏洞挖掘过程的主要内容,如果未能解决你的问题,请参考以下文章

记一次挖掘存储型XSS漏洞过程

记一次漏洞挖掘网络安全

一次实战过程的漏洞挖掘

一次SRC实战 逻辑漏洞

SRC挖掘之Access验证校验的漏洞挖掘

Web安全-浅析CSV注入漏洞的原理及利用