这个姿势是我在7、8月份做测试的时候发现的~~~
但是在最近的一次测试中又有网站出现同样的问题,所以分享下。。。

0x01 先抓包获取发验证码的数据包,并成功发送

1.png

0x02 接着连续发送这个数据包。。会提示次数超过限制

2.png

0x03 关键来了,这个时候在手机号后加一个空格,发现不提示次数超过限制了,并且验证码也发送成功了

3.png

0x04 这时候再持续发包,发现刚刚加空格的手机号又超过限制了,那么试着再加个空格试试,结果又绕过了限制。

4.png

0x05 最后发现,只要持续递增空格就可造成无限短信轰炸,当然,经过同事的提醒,我还测试了其他字符,发现只有"\n"和空格可绕过。最后就丢在了burp中跑了

5.png