短信轰炸漏洞

漏洞危害

1. 对企业有影响，虽然一条短信比较便宜但是，如果一次性，一直发很多条，那么也会造成很大的危害
2. 对接收方有影响，造成了信息骚扰。或者利用这个钓鱼

漏洞出现的位置

注册验证码获取（邮件短信）、注册激活邮件获取（邮件）、密码找回验证（邮件短信）、支付类信息、验证码验证（短信）、站内信、私信发送处（私信，站内信）等任何需要发送给邮件的，短信的地方

案例

qq邮件发送处，可以利用抓包，一直发送

绕过方法

1. 使用空格

   注意在邮箱的最后面或者最前面添加空格

   因为业务的逻辑是，使用手机号发送信息，如果一段时间之类发送了就不发送，没有发送就发送。对方的服务器对比的是两个我们使用的电话号码，当使用添加了空格的电话号码之后，这个两个字符串就不相等了

2. 修改cookie值绕过

3. 使用不同的ip绕过

4. 利用大小写绕过

5. 使用不同账户绕过

漏洞修复

1. 合理配置后台短信服务器的功能

   发送次数不超过3~5次，并且可以对发送时间做限制

2. 在页面中添加验证码