漏洞发现

输入手机号，点击发送验证码，发现验证码只有4位数字，我的经验告诉我，此处有一定概率存在任意用户注册漏洞。

漏洞利用

输入手机号，点击发送验证码，再依次输入验证码（此处随便输入，方便抓包）和密码，用BurpSuit抓包，并尝试验证码**。


最终成功注册。

漏洞修复

1.验证码设置为6位数。

2.对验证码校验做限制，如输错5次则要求输入图片验证码。

3.对同一个手机号，只允许有限次的错误校验。

想学习更多网络安全的知识，可以关注公众号“SCLM安全团队”。