短信验证码测试——短信轰炸之横向轰炸和纵向轰炸
短信轰炸也分为水平轰炸和垂直轰炸。按字面意思猜一下,就像这样。据我所知,目前还有很多短信接口可以被水平轰炸,尤其是在网页中,没有对短信接口做一些必要的限制,导致无限呼叫和滥用的存在。
因为手机号码格式比较固定,从1开始,中文11位等,可用代码,存储过程瞬时批量生成100W手机号码。
现有的工具,如Jmeter,通过CSV配置文件导入生成的电话号码,并通过HTTP请求发送它们。您还可以启动一定数量的线程,每分钟向100W个电话号码发送文本消息。假设一条短信1分钱,那一分钟就有1W元被发送出去的短信发送出去,但也都是垃圾短信,影响人群接收。还真不小~~[好吧只能说我很穷,1W元我觉得好多了啊,我可以买很多吃的、穿的、玩的~~~]
垂直轰炸,我也遇到过,现在一些新的api直接调用操作人员接口,被操作人员回拨,这就比较少了;但是,在网页中,尤其是在旧的web系统中,代码页是混在一起的,而且短信经常是通过一些发送的。, validateregisterotp。做的方法。
无意中看到网上有很多短信炸弹案,有人为了恶作剧别人,在页面上填写别人的手机号码,导致别人不断收到短信,而收到的短信发送号码也不固定,想屏蔽名单就屏蔽不了。关掉它,以免错过一个重要的电话。为什么啊~~看看短信轰炸机的原理,有人叫垂直轰炸接口,有人叫水平轰炸接口,网络上集成了很多短信接口~~
作为一种测试,只能说短信接口只是为了验证你的手机号码是正确的和真实的,不仅满足这样的功能,而且反机器人,具有一定的限制,不能使自己的短信方式成为别人使用的工具。测试不仅仅与功能有关,还与思考有关。

短信验证码:发送短信:保证发送短信到指定的手机号码;并且,为了保证不能被任意呼叫,请随机发送短信;默认情况下,需要增加以下限制:一天内同一手机号码的位数限制5次,号码为1,(132,138,139,158,159,171,177,181,189,199)横、竖两个号码不能被任意呼叫验证短信:短信验证码不能被伪基站截获;限制短信验证码的验证尝试次数。您不能保证项目的伪基站。短信验证次数,如以下,可由短信运营商完成。你需要自己动手吗?在早期的项目中,运营商没有这种限制。所以在早期的项目中,SMS被滥用了很多。
短信验证码常见漏洞汇总如下:发送短信验证码前提条件在页面中添加文本验证码。在此我们需要注意一个问题,文本验证码一般缓存在会话中,必须只使用一次,通过后需要清除,否则相同的文本验证码可以被A、BCD等人同时使用。如果你不设置文本验证码,比如现在很多网站,会员注册和登录都是直接通过手机号码+短信验证码来操作的,但是同一个设备不允许你发送多条短信,比如第五次发送短信验证码,文本验证码框
2. 发送验证码的短信验证码发送,不允许重复点击发送,但是,很多系统是在前端JS中实现的动作/validateRegisterOTP。做方法没有限制,绕过前端,无限短信。如果短信发送前对验证码有限制,您需要重新填写验证码。如果没有验证码,请发送短信验证码方法,需要加判断,是否能在一分钟内发送一条短信【本短信操作员也可以操作,待前说明】
3.验证短信验证码发送端:发送短信验证码,但该操作与业务功能无关。因此,错误的验证码可以正常使用。验证码是假的。短信验证码已经发送,chrome F12,可以看到返回消息,返回消息中包含了发送的明文验证码;这个验证码是开发人员和IT人员的一大笑话。发送短信验证码,并将验证码保存在会话中。验证码最初由手机号码为11111111111的人发送。将手机号码重新填写为222222222,并在接收到的验证码中输入验证码。这也验证码…发送短信验证码,并将短信验证码与手机号码绑定。此时,验证码存储在DB中
验证:在认证过程中,如果首次输入的验证码不合法,用户可以立即输入新的短信验证码,并重新获取短信验证码。发送短信验证码后,用户会收到“1分钟内有效”、“30分钟内有效”的提示信息,系统真正做限制。用户发送多条短信验证码给自己,每次验证码是否相同。如果每个验证码都不一样,检查是否必须使用最新的验证码用户验证短信验证码,是否有若干个要求,短信验证码也很固定,一般是4位,或者6位,如果不做数量限制,工具总能快速尝试出正确的验证码
短信验证码测试——短信轰炸之横向轰炸和纵向轰炸相关推荐
- 使用阿里云短信服务API实现短信验证码以及短信服务通知
使用阿里云短信服务API实现短信验证码以及短信服务通知 前言 一 .短信调用简要说明 二 .官方不带签名原生态测试demo 调用结果如下 三 .以上为不带模板和签名的API调用结果 下面加入签名和模板 ...
- 云平台短信验证码通知短信java/php/.net开发实现
一.本文目的 大部分平台都有一个接入发送短信验证码.通知短信的需求.虽然市场上大部分平台的接口都只是一个非常普通的HTTP-GET请求,但终归有需要学习和借鉴使用的朋友. 本文的初衷是主要提供学习便利 ...
- java实现发送短信验证码、短信验证码防刷校验-49
一:认证服务环境搭建 1.新建gulimail-auth-server 2.整合相关依赖 <!--引入commom依赖--><dependency><groupId> ...
- android 验证码短信验证码,Android短信验证码倒计时验证的2种常用方式
前言 本文主要介绍的是短信验证码功能,这里总结了两种常用的方式,可以直接拿来使用. 看图 计时器 说明:这里的及时从10开始,是为了演示的时间不要等太长而修改的. 方法如下 1.第一种方式:Time ...
- C++开发短信验证码通知短信
提供可靠的用户手机认证服务 异常拦截.失败补呼.语音补呼等综合手段,为您提供高可靠的用户手机验证服务. 1 C++对接验证码短信接口DEMO示例 本文为您提供了C++版本的验证码短信接口对接DEMO示 ...
- [风一样的创作]二次封装阿里云短信 验证码 发送短信 查询短信 编辑短信
1.首先要注册阿里云,购买阿里云短信服务,拿到AccessKey ID和AccessKey Secret 链接: https://usercenter.console.aliyun.com/#/man ...
- 手机短信验证码注册-短信平台验证码开发6
经过前面的基础准备工作后, 就可以正式进入开发的阶段了, 我们的短信接口开发, 主要以实现手机短信验证码功能案例, 进行演示, 因为这个功能在实际项目中用得最多. 这一节课程, 我们先把手机短信验证码 ...
- 短信验证码(短信接口:阿里云
实现短信接口与程序的对接:主要使用AK(AccessKey).短信签名.短信模板 1.1 进入阿里云官网,注册登录 https://www.aliyun.com/ 1.2 登录后操作:添加短信签名.短 ...
- 短信验证码mysql_短信验证码
public String sendCode(String phoneString){ String code=createRandomVcode();//验证码 // 用户名 String name ...
最新文章
- Yann Lecun最新演讲:机器怎样进行有效学习?
- apache .htaccess 禁止访问某目录方法
- Xamarin Android真机测试报错
- linux 系统优化初始化配置
- java编写一个函数_请教如何用java编写一个函数图像生成的应用程序?谢谢!
- python 正则re模块
- include element into ABAP word document
- 编译环境 Golang开发环境 vscode+git
- 小飞升值记——(13)
- 用linux编写菜单界面,配置syslinux菜单界面
- vue 抽离公共方法
- 母乳储存袋和奶瓶的全球与中国市场2022-2028年:技术、参与者、趋势、市场规模及占有率研究报告
- 2019京东618活动提报要求一览
- 全球区块链农业技术平台Dimitra与 Morpheus AMA回顾
- 《信息安全工程师教程》学习笔记02(第二章 密码学基础与应用—DES算法)
- uni-app中兴趣标签选择
- Git详解之七:自定义Git
- Word中论文参考文献英文字符间距太大,调整方法。
- nginx 源码编译、安装
- 四个步骤实现在ESRI ArcMap中加载17.6G离线卫星地图的方法
热门文章
- Lowest Commen Ancensor
- DownUnderCTF 2021 osint 赛后复现
- 计算机信息管理 日语,2017年北京科技大学高职计算机信息管理(第一外语:日语)...
- quartz原理 java_Quartz原理解密
- ​2021年数模国赛A题国二摘要及经验分享(回忆篇,附部分代码)
- 使用@JsonFormat注解 后端往前端页面展示日期为英文问题 (例如:Thu Dec 09 00:00:00 CST 2021)
- 如何防止失眠——学习笔记
- b站python弹幕签到_B站弹幕实时效果python
- 命令执行原理和利用知识点
- 吊炸天的CNNs,这是我见过最详尽的图解!(下)