网站渗透测试 对短信验证码的轰炸漏洞的检测手法



        在日常授权测试中,很大一部分只有登录接口,在这个登录接口中实际上可以测试很多事

情,如用户名枚举、弱密码、验证代码、检索密码等一系列问题。为了更好的用户体验,当前

的网站避免了每个人登录网站时都必须注册的问题。通常,发送短信验证码的方式是用来登录

的。一方面,它方便,另一方面,它也是一个动态密码,具有较高的安全性,所以随之而来的

验证码的安全问题就出现了。
 
 
短信轰炸系统漏洞
 
短信轰炸的问题实际上是最容易想到的。当然,短信轰炸的问题应该分几类来处理。
 
 
1.1短信轰炸没有任何限制
 
这应该是最简单和最粗糙的短信轰炸方式。没有任何限制,只是通过burpsint重新发布数据包,然

后你可以达到你的目标站点消耗的短信数量,并给你的电话号码拥有者造成问题。与无限短信轰炸

相比,这一个是有限的,带有验证码。如果验证码可以重放,它仍然可以被归类为短信轰炸没有任

何限制。如果认证代码无法通过手段重放或预先预测,我最常用的方法是使用python的Seleune模

块与认证代码识别工具一起模拟浏览器的请求登录,这不考虑复杂的交互,并由浏览器实现,而且

准确性取决于认证代码识别工具的准确性。Web上有许多映射工具,比如主要供应商的ocrs,或者

githubs基于机器学习的身份验证工具。
 
 
最先,根据截屏捕获全部图片,随后提取短信验证码。最后,验证码被验证码识别器识别并发送到

浏览器以触发短消息爆炸系统漏洞。该系统漏洞的危害性主要取决于识别验证码的难易度和发送短

信的数量限制。现如今,基础的流行网址务必一步验证短信验证码,最重要的是短信验证码验证,

自然也有拖动条验证这些。如果您感兴趣,可以通过模拟浏览器登录来破解滑块验证码。这类难题

应当被视作一种绕开手机上发送信息限定的方式。他的逻辑性应该是那样的:客户键入手机号->

后端开发分辨手机号是在三十秒内還是60秒内被恳求->要不是,则分辨推送的手机号是11位数据

,要不是,则删掉非数字字符->与数据库查询中的手机号开展较为,它得以存有于数据库查询中。
分享: