漏洞描述
短信及邮箱验证码一般由4位到6位数字组成,若服务器未对验证时间,次数进行限制,则存在被爆破成功的可能性。
漏洞测试案例
访问测试网站 选择验证码登录,输入一个存在的手机号,点击获取验证码。
然后随意输入验证码1111,点击登录时开启抓包
放到Web Fuzzer进行4位验证码爆破(之所以爆破4位验证码,是因为提前用自己手机号测试时发现验证码为4位) 成功爆破出验证码2159,获取到手机号用户的token凭证。
短信及邮箱验证码一般由4位到6位数字组成,若服务器未对验证时间,次数进行限制,则存在被爆破成功的可能性。
访问测试网站 选择验证码登录,输入一个存在的手机号,点击获取验证码。
然后随意输入验证码1111,点击登录时开启抓包
放到Web Fuzzer进行4位验证码爆破(之所以爆破4位验证码,是因为提前用自己手机号测试时发现验证码为4位) 成功爆破出验证码2159,获取到手机号用户的token凭证。