iverson5

任意伪造号码拨打电话

看见乌云上有个类似的漏洞

便研究了一下,发现类似的漏洞存在不少

比如这个“SKY网络电话”。

首先

注册一个号码,号码可以填写任意你喜欢的手机号

QQ截图20140823001944

然后输入短信验证码QQ截图20140823002157

burp抓包

QQ截图20140823002115

send to Intruder

把smsCode加入payload

4位数跑,没有次数限制,验证码没有时效,所以。。你懂得!

QQ截图20140823002145

然后就注册成功了。。

测试一下,掉渣天!

QQ图片20140823005251

评论

iverson5

© iverson5 | Powered by LOFTER