某次公众号漏洞挖掘时,发现一个短信轰炸漏洞,简单记录一下。
注册时填写好相关信息后点击发送验证,请求如下:
不断发送请求,发现最多只能发送8条短信验证码:
测试发现不断修改JESSIONID可以绕过此限制,实现短信轰炸:
over~
