某公司公众号任意用户注册漏洞利用
发布日期:2021-07-01 00:02:05
浏览次数:2
分类:技术文章
本文共 375 字,大约阅读时间需要 1 分钟。
现在大多平台用户注册都采用了手机号注册,通过发送验证码确保手机号的合法性。但是如果处理不当,则可能造成任意手机号注册等漏洞,就比如下面的某公众号。
漏洞利用
漏洞URL:
http://wx.xxxx.qjcode.com/app_api/login/register
复现步骤:
进入该公众号,点击个人中心->登录,并切换到注册界面: 点击发送验证码,随便输入验证码,并输入密码,点击确认,用BurpSuit拦截注册接口,爆破注册接口,可使任意手机号注册。该公众号还存在忘记密码按照同样方式操作,可导致任意用户号密码修改漏洞。
防御策略
1.验证码设置为6位数 。
2.对验证码校验做限制,如输错5次则要求输入图片验证码。
3.缩短验证码有效时间。
4.限制每个验证码验证错误次数。
想学习更多网络安全的知识,可以关注公众号“SCLM安全团队”。
转载地址:https://lynnlovemin.blog.csdn.net/article/details/108643244 如侵犯您的版权,请留言回复原文章的地址,我们会给您删除此文章,给您带来不便请您谅解!
发表评论
最新留言
路过按个爪印,很不错,赞一个!
[***.219.124.196]2024年04月21日 15时07分58秒
关于作者
喝酒易醉,品茶养心,人生如梦,品茶悟道,何以解忧?唯有杜康!
-- 愿君每日到此一游!
推荐文章
【学习笔记】Android Activity
2021-07-03
location区段
2021-07-03
nginx访问控制、基于用户认证、https配置
2021-07-03
linux内存的寻址方式
2021-07-03
how2heap-double free
2021-07-03
how2heap-fastbin_dup_consolidate
2021-07-03
tf keras SimpleRNN源码解析
2021-07-03
MyBatisPlus简单入门(SpringBoot)
2021-07-03
攻防世界web进阶区web2详解
2021-07-03
xss-labs详解(上)1-10
2021-07-03
xss-labs详解(下)11-20
2021-07-03
攻防世界web进阶区ics-04详解
2021-07-03
sql注入总结学习
2021-07-03
Python 之 histogram直方图
2021-07-03
Python实现决策树 Desision Tree & 可视化
2021-07-03
决策树 Decision tree
2021-07-03
MATLAB与CUDA
2021-07-03
Linux png转jpg (convert命令)
2021-07-03