浅析一次任意用户注册漏洞挖掘过程
Posted lynnlovemin
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了浅析一次任意用户注册漏洞挖掘过程相关的知识,希望对你有一定的参考价值。
漏洞发现
输入手机号,点击发送验证码,发现验证码只有4位数字,我的经验告诉我,此处有一定概率存在任意用户注册漏洞。
漏洞利用
输入手机号,点击发送验证码,再依次输入验证码(此处随便输入,方便抓包)和密码,用BurpSuit抓包,并尝试验证码爆破。
最终成功注册。
漏洞修复
1.验证码设置为6位数。
2.对验证码校验做限制,如输错5次则要求输入图片验证码。
3.对同一个手机号,只允许有限次的错误校验。
想学习更多网络安全的知识,可以关注公众号“SCLM安全团队”。
以上是关于浅析一次任意用户注册漏洞挖掘过程的主要内容,如果未能解决你的问题,请参考以下文章