SRC短信验证码漏洞挖掘技巧

2023-04-18 15:40:38 63 6789 3


个人认为src挖洞成就高低与个人经验和付出的时间成正比,此贴意在汇总t00ls各路大神挖洞tips。可以是一个功能点的非常规测试思路,也可以是某种类型漏洞的非常规测试思路。
如:
1、短信轰炸漏洞tips
发送验证码时,F12控制台调试,可通过分析js代码,查看手机号次数发送逻辑,以便分析使用何种字符绕过。
20230419 汇总了下各位师傅的评论思路,感谢各位师傅
20230516 添加条件竞争,感谢各位师傅
双写
前后添加空格
加逗号
加号
多个加号
@
添加截断符号
xff判断绕过
+86
00
0086
条件竞争
添加换行

关于作者

Anonymous0篇文章0篇回复

We are Anonymous!

评论63次

要评论?请先  登录  或  注册
  • TOP1
    2023-4-18 16:38

    还是有的,我也是听了2022年TSRC颁奖典礼大佬分享的技巧学到的。后来挖到了这样的漏洞,下面是利用逗号绕过发送频率限制

  • TOP2
    2023-6-12 13:44

    还有 空格、换行、tab键等字符,%20、%0a、%0b、%0c、%0d 也可以绕过

  • 3楼
    2023-4-18 16:56

    我也遇到过这种,当时也觉得这开发有点东西 哈哈

  • 2楼
    2023-4-18 16:38
    ggboom993

    从没遇见过前端验证的短信轰炸...

    1

    还是有的,我也是听了2022年TSRC颁奖典礼大佬分享的技巧学到的。后来挖到了这样的漏洞,下面是利用逗号绕过发送频率限制

  • 1楼
    2023-4-18 16:26

    从没遇见过前端验证的短信轰炸...