短信/邮箱轰炸漏洞攻防详解

短信/邮箱轰炸漏洞攻防详解 0x00 前期准备 临时接收短信网站 用于测试的临时短信接收平台： https://www.pdflibr.com/ http://www.z-sms.com/ https://www.receive-sms-online.info/ [ 国内 ]https://yunduanxin.net/ [ 国内 ]http://www.smszk.com/ [ 国外 ]http://receive-sms-online.com/ [ 国外 ]https://smsnumbersonline.com/ [ 国外 ]https://www.freeonlinephone.org/ [ 国外 ]https://sms-online.co/receive-free-sms 黑名单资源 作者整理的phone list黑名单： https://gist.github.com/fr4nk404/1d8317a5f66ebe0933b8fade897497ff 0x01 常见问题概述 风险影响 企业角度 ：造成直接经济损失、信息泄露和名誉损害 用户角度 ：信息骚扰，黑名单防护失效 攻击者角度 ：可集成多个漏洞网站进行定向轰炸 进阶利用 ：可测试账号注册状态、结合社工库撞库、自定义发送内容进行钓鱼 常见功能点 账号注册 首次设置密码时的身份校验 账号登录（验证码方式） 重置密码 绑定/修改手机/邮箱 免费试用/活动领取/独特功能/反馈处 0x02 攻击方法详解 1. 基础测试方法 在注册处填写手机号/邮箱 使用Burp抓包发送到Repeater重放 测试10-20次验证频控是否存在 2. Cookie操作绕过 删除Cookie ：某些系统依赖Session中的token生成验证key，删除Cookie可绕过 修改Cookie ：对固定值Cookie添加数字后缀绕过唯一性校验 3. 设计缺陷利用 子域名不一致 ：主域名做了频控但子域名未做（如test.A.com） 多平台一致性 ：企业统一账号系统在不同平台可能有不同频控策略 4. 修改绑定相关漏洞 逻辑缺陷 ： 未收到验证码时修改服务端返回包为校验正确 单独使用"提交新手机号获取验证码"流程，绕过原手机号验证 频控缺失 ：修改绑定功能可能未做短信轰炸防御 0x03 防御措施 1. 频率控制 限制同一手机号单位时间内发送次数 设置合理的时间间隔 根据业务设定每日最大发送量 2. 请求验证 严格验证每一步请求，依赖上一步结果 避免攻击者可控参数，可加入随机key贯穿验证流程 3. 图形验证码 将手机验证码与图形验证码绑定 防止自动化工具攻击 4. 返回内容安全 避免在请求中独立展示验证相关内容 减少攻击者可控点，降低钓鱼风险 0x04 总结 短信/邮箱轰炸漏洞主要源于不完善的频率控制和逻辑设计缺陷。攻击者可利用多种技术手段绕过现有防护，而有效的防御需要从请求验证、频率控制、多因素认证等多方面入手。企业应根据自身业务特点，设计合理的防护策略，平衡安全性与用户体验。