短信轰炸之空格或\\n绕过

3 个月前文章归档 41

这个姿势是我在7、8月份做测试的时候发现的，但是在最近的一次测试中又有网站出现同样的问题，所以在这里给大家分享下过程。

0x01 先抓包获取发验证码的数据包，并成功发送

0x02 接着连续发送这个数据包。。会提示次数超过限制

0x03 关键来了，这个时候在手机号后加一个空格，发现不提示次数超过限制了，并且验证码也发送成功了

0x04 这时候再持续发包，发现刚刚加空格的手机号又超过限制了，那么试着再加个空格试试，结果又绕过了限制。

0x05 最后发现，只要持续递增空格就可造成无限短信轰炸，当然，经过同事的提醒,我还测试了其他字符，发现只有"\n"和空格可绕过。最后就丢在了burp中跑了

推荐阅读：

你和女朋友之间只差一台“计算机” 意外发现一套cms的注入漏洞今天除了皮，我还做了这些事情黑客是这样黑掉LED显示器（附视频全过程）我给网线背后的"键盘侠"打了个电话并骂了对方一通当钓鱼网站遇上白帽子黑客

（文章转载请注明来自：IT同路人论坛）

长按二维码识别关注

“IT同路人”微信公众号

工欲善其事，必先利其器。