久久青青草视频,欧美精品v,曰韩在线,不卡一区在线观看,中文字幕亚洲区,奇米影视一区二区三区,亚洲一区二区视频

歡迎來(lái)到淘金地

短信轟炸的原理你知道嗎?怎樣做到網(wǎng)絡(luò)安全?

來(lái)源: 發(fā)布時(shí)間:2023-04-06

短信轟炸漏洞是Web邏輯漏洞的一種。顧名思義,從字面上就不難理解,雖然是網(wǎng)站漏洞,但是這個(gè)漏洞攻擊的受害對(duì)象就是個(gè)人用戶,即對(duì)用戶的手機(jī)號(hào)不間斷地發(fā)送短信,造成轟炸短信滿天飛的現(xiàn)象。從漏洞的角度來(lái)說(shuō),似乎并不那么嚴(yán)重,但是從用戶的角度來(lái)說(shuō),這是十分令人恐慌的,因?yàn)橛脩魰?huì)懷疑自己的個(gè)人信息被非法利用,注冊(cè)了很多自己不知道的東西。本篇文章就介紹一下短信轟炸漏洞挖掘的一些姿勢(shì),同時(shí)也希望短信轟炸漏洞能被更多的人重視。





0x00 前后空格繞過(guò)意思很簡(jiǎn)單,就是抓包,在手機(jī)號(hào)的前面或后面加上空格,又或者前后都要加上空格來(lái)進(jìn)行繞過(guò),從而達(dá)到在驗(yàn)證碼過(guò)期時(shí)間之內(nèi)向一個(gè)手機(jī)號(hào)多次發(fā)送驗(yàn)證碼的效果。





前空格

from clipboard

后空格

from clipboard

當(dāng)然也可以靈活善變一些,在手機(jī)號(hào)前或在手機(jī)號(hào)后加多個(gè)空格來(lái)繞過(guò)。

0x01 +86 或者 086 繞過(guò)我們都知道+86 的是國(guó)內(nèi)的手機(jī)號(hào),不知道的可以看自己的手機(jī)卡設(shè)置,在設(shè)置,雙卡移動(dòng)網(wǎng)絡(luò),SIM卡信息設(shè)置處,其他類型手機(jī)也大概一樣。那既然如此,我們給數(shù)據(jù)包里面的手機(jī)號(hào)加上+86 或者 086 是不是也了這個(gè)用戶。



0x02 特殊字符繞過(guò)網(wǎng)站會(huì)限制你輸入的手機(jī)號(hào),你加入一些特殊字符之后,繞過(guò)它,它發(fā)送短信識(shí)別的還是那11位數(shù)字手機(jī)號(hào)。

至于其他特殊字符 比如換行符 \r \n 等也是可以利用的,其實(shí)和空格繞過(guò)差不多,就是空格繞過(guò)用的多而已。



0x03 改地區(qū)代碼繞過(guò)當(dāng)我們注冊(cè)一些網(wǎng)站的時(shí)候,有時(shí)候會(huì)顯示該地區(qū)無(wú)法注冊(cè),我們可以換一個(gè)地區(qū),比如CH 為中國(guó),F(xiàn)R 為法國(guó),我們可以改成GM 德國(guó)

from clipboard


圖片就大概是下面這樣



0x04 刪除請(qǐng)求包 Cookie 或者修改X-Forwarded-For參數(shù)有的驗(yàn)證碼是通過(guò)訪問(wèn)數(shù)據(jù)包的IP來(lái)做限制,比如X-Forwarded-For這個(gè)包參數(shù),因此可以修改X-Forwarded-For后面的IP地址來(lái)進(jìn)行繞過(guò)。

同樣,有的驗(yàn)證碼是通過(guò)請(qǐng)求Cookie 來(lái)限制的,因此我們可以重放到Reperter 模塊,把Cookie 刪掉。





0x05 修改返回包繞過(guò)有的網(wǎng)站根據(jù)返回的數(shù)據(jù)包,來(lái)判斷驗(yàn)證碼是否已經(jīng)發(fā)送。因此,我們可以修改返回參數(shù)值,來(lái)繞過(guò)限制。

比如下圖的參數(shù)值9 ,我們可以改成1,或者其他數(shù)字。





0x06 雙寫手機(jī)號(hào)網(wǎng)站后端只對(duì)手機(jī)號(hào)做了一次參數(shù)限制,那么雙寫一個(gè)手機(jī)號(hào)參數(shù),另一個(gè)手機(jī)號(hào)參數(shù)繞過(guò)限制,進(jìn)入到后端,被識(shí)別,發(fā)送短信。



也可能在同一個(gè)參數(shù)后面重寫手機(jī)號(hào)



總之,構(gòu)造方法多種多樣,還需要隨機(jī)應(yīng)變啊,兄弟們。0x07 接破比如 apitype=1&phone=158xxx5467 1 注冊(cè)接口,2 注冊(cè)成功接口,3密碼重置接口,那我們就可以爆破apitype參數(shù),這樣一個(gè)手機(jī)號(hào)就會(huì)不斷的經(jīng)歷注冊(cè),注冊(cè)成功,密碼重置成功的短信轟炸。所以,在漏洞挖掘的時(shí)候,關(guān)注參數(shù)。以及參數(shù)之間的關(guān)聯(lián)是十分必要的。

0x08 手機(jī)號(hào)綁定身份有的手機(jī)號(hào)綁定的是員工號(hào),在登錄界面,只有員工號(hào)和短信驗(yàn)證碼兩種登錄要求,也就是你輸入員工號(hào),獲取手機(jī)驗(yàn)證碼。這種就是員工號(hào)和手機(jī)號(hào)進(jìn)行了綁定,因此我們重放員工號(hào),員工手機(jī)就能不斷的接收驗(yàn)證碼,從而導(dǎo)致短信轟炸。




蜂鳥信安學(xué)苑秉承“以人為本”的理念,專注于網(wǎng)絡(luò)安全行業(yè)教育事業(yè),以“就業(yè)”為己任,以“實(shí)戰(zhàn)成長(zhǎng)進(jìn)階”為目標(biāo),以“實(shí)戰(zhàn)技能培養(yǎng)”為,通過(guò)多元化實(shí)踐以及內(nèi)部模擬實(shí)戰(zhàn)方式,為真正熱愛網(wǎng)絡(luò)安全的學(xué)員提供綜合能力進(jìn)階的平臺(tái),歡迎網(wǎng)上咨詢或前來(lái)參觀。



學(xué)完各階段將掌握的能力

from clipboard


網(wǎng)絡(luò)基礎(chǔ)

能夠掌握網(wǎng)絡(luò)的通訊原理、網(wǎng)絡(luò)協(xié)議、ACL規(guī)則的分配、路由的操作等,在工作中能夠發(fā)現(xiàn)、排查常見的網(wǎng)絡(luò)問(wèn)題。



系統(tǒng)和環(huán)境

了解Linux、Windows的特性及操作,能夠解決常見的服務(wù)器問(wèn)題,包括中間件的部署、調(diào)試,能夠勝任大部分日常的運(yùn)維工作。



數(shù)據(jù)庫(kù)

通過(guò)學(xué)習(xí)可以掌握常見的數(shù)據(jù)庫(kù)的部署、配置、常見的操作以及安全排查的能力。



安全產(chǎn)品

通過(guò)學(xué)習(xí)能夠掌握常見的安全設(shè)備(例如WAF、SOC、FW等)的原理、特性、作用場(chǎng)景以及如何分析安全產(chǎn)品輸出的結(jié)果,并不局限于某一家安全廠商的產(chǎn)品,在工作的時(shí)候能夠從容應(yīng)對(duì)。



產(chǎn)品經(jīng)理

掌握產(chǎn)品的功能、特性包括產(chǎn)品的上架規(guī)劃、部署架構(gòu)等。同時(shí)還能掌握標(biāo)書的編寫,與技術(shù)人員的溝通方式,有利于日常工作中的有效的交流。



開發(fā)語(yǔ)言

通過(guò)多種編程語(yǔ)言的學(xué)習(xí),可了解各個(gè)語(yǔ)言的特性,尋找適合自己的語(yǔ)言,同時(shí)保證自己遇到別的語(yǔ)言的問(wèn)題的時(shí)候能夠調(diào)試、分析。



web漏洞

能夠掌握漏洞的產(chǎn)生原因、攻擊手段、修復(fù)方式,在平常的工作中可綜合靈活地運(yùn)用。



CTF

了解CTF的各個(gè)方向所需的技能,著重講解的web方向的題型、解題思路。



滲透測(cè)試

掌握WEB系統(tǒng)滲透測(cè)試方法,能夠編寫滲透測(cè)試報(bào)告,以及如何給出合適的修復(fù)建議。



攻防演練

了解接下來(lái)工作期間需要參與的重大項(xiàng)目,規(guī)則、攻擊手段、報(bào)告編寫的方式,能夠單獨(dú)參與小目標(biāo)的項(xiàng)目。



應(yīng)急響應(yīng)

無(wú)論是在甲方還是在乙方,都需要掌握的一項(xiàng)技能,如何應(yīng)對(duì)威脅、威脅的分類以及如何處置威脅更快的回復(fù)業(yè)務(wù),復(fù)盤總結(jié)如何加固現(xiàn)有的安全體系。

公司信息

聯(lián) 系 人:

手機(jī)號(hào):

電話:

郵箱:

地址:

本日新聞 本周新聞 本月新聞
返回頂部