您的位置: 首页 > 文章 > 浅析一次任意用户注册漏洞挖掘过程 浅析一次任意用户注册漏洞挖掘过程 分类: 文章 • 2024-08-28 18:36:58 漏洞发现 输入手机号,点击发送验证码,发现验证码只有4位数字,我的经验告诉我,此处有一定概率存在任意用户注册漏洞。 漏洞利用 输入手机号,点击发送验证码,再依次输入验证码(此处随便输入,方便抓包)和密码,用BurpSuit抓包,并尝试验证码**。 最终成功注册。 漏洞修复 1.验证码设置为6位数。 2.对验证码校验做限制,如输错5次则要求输入图片验证码。 3.对同一个手机号,只允许有限次的错误校验。 想学习更多网络安全的知识,可以关注公众号“SCLM安全团队”。