逻辑漏洞 - 短信验证码安全

  在如今的各类系统中,验证码成为了常见的安全验证手段,然而验证码同样存在诸多安全问题,这里把验证码安全分成图形验证码安全、短信验证码安全
  短信验证码安全:验证码回显、验证码绕过、短信轰炸、验证码可控(条件有限,这里只做前两种漏洞演示)

漏洞场景:验证码回显

tips
  验证码回显:由于系统错误配置或开发疏忽,导致短信验证码被直接回显在响应包中
测试结果

                                        

缺陷代码

漏洞场景:验证码绕过

tips
  验证码绕过:通过Fuzz请求参数,添加code_verify=true即可绕过登录校验
测试结果

                                        

缺陷代码