本文共 375 字，大约阅读时间需要 1 分钟。

现在大多平台用户注册都采用了手机号注册，通过发送验证码确保手机号的合法性。但是如果处理不当，则可能造成任意手机号注册等漏洞，就比如下面的某公众号。

漏洞利用

漏洞URL:

http://wx.xxxx.qjcode.com/app_api/login/register

复现步骤：

该公众号还存在忘记密码按照同样方式操作，可导致任意用户号密码修改漏洞。

防御策略

1.验证码设置为6位数 。

2.对验证码校验做限制，如输错5次则要求输入图片验证码。

3.缩短验证码有效时间。

4.限制每个验证码验证错误次数。

想学习更多网络安全的知识，可以关注公众号“SCLM安全团队”。

转载地址：https://lynnlovemin.blog.csdn.net/article/details/108643244 如侵犯您的版权，请留言回复原文章的地址，我们会给您删除此文章，给您带来不便请您谅解！