一次奇思妙想的短信轰炸

开始测试

我无意中看到我们湖南又要举办湖湘杯,网络安全技能大赛,我心想这不错啊!说明湖南重视网络安全了,我就去网站看了一下。咦!有在线报名,还需要手机短信验证码,我心想会不会存在短信轰炸呢?说干就干,整就牛。

测试过程

我们先走正常流程,先输入一个手机号,然后接收短信验证码。

有时间限制!

我们可以用burp suite抓包

发现一直点Go,回显为false;表示发送失败。


难道我们就没办法了吗?当然不是。


我就开始分析POST数据包参数,看到SessionId,突然奇思妙想想到如果删除SessionId他是不是就不判断时间了,因为SessionId相当于一个会话,如果连这个会话都没有了,那么它是不是就没法判断时间了,从而实现绕过时间限制达到短信轰炸的目的呢?




发现删除SessionId之后一直点Go,回显为true;表示发送成功。



最后的效果当然是绕过时间限制实现对任意手机号码进行短信轰炸。


总结
  • 学会奇思妙想,有时候渗透测试在于思路,有思路其实不难。另外这是程序员的锅。