阳子
阳子
Published on 2024-11-20 / 7 Visits
0
0

验证码爆破

漏洞描述

短信及邮箱验证码一般由4位到6位数字组成,若服务器未对验证时间,次数进行限制,则存在被爆破成功的可能性。

漏洞测试案例

访问测试网站 选择验证码登录,输入一个存在的手机号,点击获取验证码。

F327AAF3-D660-4904-9D2A-78737F796B03.png

然后随意输入验证码1111,点击登录时开启抓包

BE2C9B8C-4CC4-4466-A2D4-8393F3970327.png

放到Web Fuzzer进行4位验证码爆破(之所以爆破4位验证码,是因为提前用自己手机号测试时发现验证码为4位) 成功爆破出验证码2159,获取到手机号用户的token凭证。

0E6ED81E-2E3F-44BF-869E-34783183DC57.png

752C82A4-1DE6-443E-82BB-44A6D2386503.png


Comment