记一次逻辑漏洞(Get请求发动短信轰炸)

时间  2020-08-06 标签 一次 逻辑 漏洞 请求 发动 短信 轰炸

首先在一个网站我的信息这里:
在这里插入图片描述
先点击获取验证码–抓包(BrupSuite):
在这里插入图片描述
能够看到他是以GET传参发送验证码的:
而后我访问构造的URL:
http://xx.xxxx.cn/myaccount/getCode/telNum/15555555555
在这里插入图片描述
发送成功是:
{“flag”:“1”,“msg”:“验证码发送成功!”}
失败是:
{“flag”:“0”,“msg”:“发送失败,30秒后再发送!”}
而后咱们再抓包:进行Intuder爆破:(爆破手机号后四位:)
在这里插入图片描述
在这里插入图片描述
而后查看Repeater:
在这里插入图片描述
他回显:
{“flag”:“1”,“msg”:“验证码发送成功!”}
说明存在漏洞!web

Power_Liu
Qq:211124332
欢迎大佬们找我讨论技术svg

联系我们 沪ICP备13005482号-10