开始测试
我无意中看到我们湖南又要举办湖湘杯,网络安全技能大赛,我心想这不错啊!说明湖南重视网络安全了,我就去网站看了一下。咦!有在线报名,还需要手机短信验证码,我心想会不会存在短信轰炸呢?说干就干,整就牛。
测试过程
我们先走正常流程,先输入一个手机号,然后接收短信验证码。
有时间限制!我们可以用burp suite
抓包
发现一直点Go
,回显为false
;表示发送失败。
难道我们就没办法了吗?当然不是。
发现删除SessionId
之后一直点Go
,回显为true
;表示发送成功。
最后的效果当然是绕过时间限制实现对任意手机号码进行短信轰炸。
总结
- 学会奇思妙想,有时候渗透测试在于思路,有思路其实不难。另外这是程序员的锅。