0


短信验证码测试——短信轰炸之横向轰炸和纵向轰炸

短信轰炸也分为水平轰炸和垂直轰炸。按字面意思猜一下,就像这样。据我所知,目前还有很多短信接口可以被水平轰炸,尤其是在网页中,没有对短信接口做一些必要的限制,导致无限呼叫和滥用的存在。
因为手机号码格式比较固定,从1开始,中文11位等,可用代码,存储过程瞬时批量生成100W手机号码。
现有的工具,如Jmeter,通过CSV配置文件导入生成的电话号码,并通过HTTP请求发送它们。您还可以启动一定数量的线程,每分钟向100W个电话号码发送文本消息。假设一条短信1分钱,那一分钟就有1W元被发送出去的短信发送出去,但也都是垃圾短信,影响人群接收。还真不小[好吧只能说我很穷,1W元我觉得好多了啊,我可以买很多吃的、穿的、玩的~~~]
垂直轰炸,我也遇到过,现在一些新的api直接调用操作人员接口,被操作人员回拨,这就比较少了;但是,在网页中,尤其是在旧的web系统中,代码页是混在一起的,而且短信经常是通过一些发送的。, validateregisterotp。做的方法。
无意中看到网上有很多短信炸弹案,有人为了恶作剧别人,在页面上填写别人的手机号码,导致别人不断收到短信,而收到的短信发送号码也不固定,想屏蔽名单就屏蔽不了。关掉它,以免错过一个重要的电话。为什么啊
看看短信轰炸机的原理,有人叫垂直轰炸接口,有人叫水平轰炸接口,网络上集成了很多短信接口~~
作为一种测试,只能说短信接口只是为了验证你的手机号码是正确的和真实的,不仅满足这样的功能,而且反机器人,具有一定的限制,不能使自己的短信方式成为别人使用的工具。测试不仅仅与功能有关,还与思考有关。

短信验证码:发送短信:保证发送短信到指定的手机号码;并且,为了保证不能被任意呼叫,请随机发送短信;默认情况下,需要增加以下限制:一天内同一手机号码的位数限制5次,号码为1,(132,138,139,158,159,171,177,181,189,199)横、竖两个号码不能被任意呼叫验证短信:短信验证码不能被伪基站截获;限制短信验证码的验证尝试次数。您不能保证项目的伪基站。短信验证次数,如以下,可由短信运营商完成。你需要自己动手吗?在早期的项目中,运营商没有这种限制。所以在早期的项目中,SMS被滥用了很多。
短信验证码常见漏洞汇总如下:发送短信验证码前提条件在页面中添加文本验证码。在此我们需要注意一个问题,文本验证码一般缓存在会话中,必须只使用一次,通过后需要清除,否则相同的文本验证码可以被A、BCD等人同时使用。如果你不设置文本验证码,比如现在很多网站,会员注册和登录都是直接通过手机号码+短信验证码来操作的,但是同一个设备不允许你发送多条短信,比如第五次发送短信验证码,文本验证码框
2. 发送验证码的短信验证码发送,不允许重复点击发送,但是,很多系统是在前端JS中实现的动作/validateRegisterOTP。做方法没有限制,绕过前端,无限短信。如果短信发送前对验证码有限制,您需要重新填写验证码。如果没有验证码,请发送短信验证码方法,需要加判断,是否能在一分钟内发送一条短信【本短信操作员也可以操作,待前说明】
3.验证短信验证码发送端:发送短信验证码,但该操作与业务功能无关。因此,错误的验证码可以正常使用。验证码是假的。短信验证码已经发送,chrome F12,可以看到返回消息,返回消息中包含了发送的明文验证码;这个验证码是开发人员和IT人员的一大笑话。发送短信验证码,并将验证码保存在会话中。验证码最初由手机号码为11111111111的人发送。将手机号码重新填写为222222222,并在接收到的验证码中输入验证码。这也验证码…发送短信验证码,并将短信验证码与手机号码绑定。此时,验证码存储在DB中
验证:在认证过程中,如果首次输入的验证码不合法,用户可以立即输入新的短信验证码,并重新获取短信验证码。发送短信验证码后,用户会收到“1分钟内有效”、“30分钟内有效”的提示信息,系统真正做限制。用户发送多条短信验证码给自己,每次验证码是否相同。如果每个验证码都不一样,检查是否必须使用最新的验证码用户验证短信验证码,是否有若干个要求,短信验证码也很固定,一般是4位,或者6位,如果不做数量限制,工具总能快速尝试出正确的验证码

标签: 安全 代码规范

本文转载自: https://blog.csdn.net/unisms88/article/details/125430281
版权归原作者 unisms(合一短信) 所有, 如有侵权,请联系我们删除。

“短信验证码测试——短信轰炸之横向轰炸和纵向轰炸”的评论:

还没有评论