首页>新闻动态>业内资讯

业内资讯

  首先说下绕过轰炸限制的思路。

  1利用空格绕过短信&邮箱轰炸限制

  比如一般参数是这样的:mobile1=XXXXXX email=XXXXXX@XX.XXX 一般都会有5次机会,如果发送次数超过了5次,那么一时间或1天才能继续发送,但当在手机号的前面或者后面加上空格的时候就又可以发送5次,而且短信或者邮箱是收的到的,修改过的参数如:mobile1= XXXXXX ,在前面加上空格,每加一个空格就会有反复发送短信或邮件的机会。

  2利用调用接口绕过短信&邮箱轰炸限制

  比如这样的参数:terminal=01&Mobile=XXXXXXX,前面的接口是调用短信发送内容的接口,比如terminal参数值为01是调用注册成功的短信提示,02是调用密码重置成功的短信提示,03是调用注册成功的短信提示等等,当修改这个接口值时,也就达到了短信轰炸或邮箱轰炸的目的。

  3修改Cookie值绕过短信&邮箱轰炸限制

  有些可能不是直接验证手机号来判断次数,而是验证当前Cookie,利用当前Cookie来进行验证发送次数的话,很容易造成绕过,这里如果验证的不是登录状态的Cookie而是普通状态下的Cookie的话就可以通过修改Cookie达到绕过验证。

  4修改IP绕过短信&邮箱轰炸限制

  有些同样是验证当前IP的,如果当前IP短时间内获取短信或邮件频繁或者达到一定次数的话就会出现限制,那么就可以利用修改IP或者代理IP来进行绕过限制。

  5利用大小写绕过邮箱轰炸限制

  前面说到了关于加空格的绕过限制,邮箱也可以用,但还有一种方式可以绕过邮箱轰炸限制,那就是通过修改大小写,通过修改邮箱后面字母的大小写就可绕过限制,比如参数是这样的:Email=XXXX@qq.com 当次数达到限制时,随便修改一个字母为大写:Email=XXXX@Qq.com就可绕过限制。

  6修改返回值绕过短信&邮箱轰炸限制

  比如发送成功后返回值是success,发送失败的返回值是error,那么当达到次数后,可以通过修改返回值为正确的返回值:success,从而绕过限制,达到发送成功的目的。

  7利用不同账户达到短信&邮箱轰炸

  这也算是一个绕过问题,主要也是验证不当,比如一个账户可以获取5次,那么我换一个账户又可以获取5次,没有其它验证,那么可导致大规模的短信轰炸,虽然轰炸次数少,但是确实是大规模的,其本质也是会对企业和用户造成影响。

  以上是绕过限制下的短信&邮箱轰炸

  以下是直接造成短信&邮箱轰炸的思路

  1利用登录处达到短信轰炸

  比如一些网站支持手机动态验证码登录,如果这里没有网站验证码的话,通过抓包批量发送很有可能造成危害,如果有网站验证码的话,这里就又涉及到一个新的思路了,也就是绕过网站验证码的问题,首先通过自己的账户进行短信登录,获取正确的网站验证码以及正确的手机验证码,点击登录的时候抓包,这里我用burpsuite,发送到Repeater模式,然后修改手机号为需要轰炸的手机号,然后重放,你会发现,手机验证码发送成功了,这涉及到的就是网站验证码绕过问题,步骤大概为输入正确账户正确网站验证码以及等等,登录时抓包,然后利用这个登录成功的数据包,修改值就可达到绕过轰炸现在问题。

  有些网站在登录处需要手机验证,这里大概出现验证的位置为三处:

  第一处:直接在登录处显示获取验证码

  第二处:当点击登录时会在登录处弹出验证

  第三处:当点击登录后跳转至一个专门验证的页面

  这些点有可能会出现轰炸的危害,可直接抓包进行轰炸。

  2利用注册处&找回密码处进行轰炸

  在注册和找回密码处,往往都需要验证码,如果没有加以验证码以及其它的限制的话,有可能会造成轰炸问题。

  3利用修改处进行轰炸

  在个人管理界面修改手机号或者修改邮箱的时候都需要验证码,如果此时这里处理不当,也可造成轰炸问题。

  4利用反馈处进行轰炸

  一些平台支持反馈或者投诉等等,手机号或者邮箱都是自定义,也就是说可以随便输入,在我以前挖掘的过程当中,该问题利用起来虽然很有限制,但是本质上还是存在一点问题。一般这些反馈功能都不会验证提交次数,那么可以进行批量的提交,而手机号或邮箱可以指定需要轰炸的对象,当后台审核后就会进行短信或者邮箱通知,此时当你提交多少次就会通知多少次,那么也就造成了危害。

  5利用某些活动页面进行轰炸

  比如一些活动或者刚上线的广告,可以领取某某东西,要求获取手机验证码进行领取,一般这里最容易存在问题了,如果最后活动下线了而这个发送接口还存在的话,那么就可被更隐藏性的利用了。

  6利用独特功能进行轰炸

  比如个人后台可以添加企业资料或者什么的,然后里面会要求输入手机号,当添加成功了会有短信通知,此时如果重复添加,那么添加一次通知一次也就造成了短信轰炸的危害了。

  以上就是挖掘短信轰炸&邮箱轰炸的思路了。

  但细心的你可能会注意到,在登录处或者找回密码以及其它处,如果你输入的手机号或者邮箱是不存在的话它的返回信息就会返回不存在,如果存在就进行下一步操作,那么也就是说短信&邮箱轰炸也会造成用户信息被爆破的危害以及其它的危害。